Was verbirgt sich hinter diesen Google Mail / GTalk-Berechtigungen?

Ich bin gerade auf einige Berechtigungen gestoßen, die auf den ersten Blick klar klingen (habe sie bereits vor einiger Zeit bemerkt und mich gerade entschlossen, jetzt tiefer zu graben). Wenn ich über mögliche Auswirkungen nachdenke, würde ich gerne wissen, auf welche Funktionen / Daten sie Zugriff gewähren, da dies sehr persönlich / sensibel werden kann:

com.google.android.gm.permission.READ_GMAIL: Oft wird der Grund "Zugriff auf Anhänge" angegeben (z. B. PDF-Dateien, die mit einem PDF-Reader geöffnet werden sollen). Aber ist das alles? Oder könnte eine mit dieser Berechtigung ausgestattete App die gesamte Mail lesen?
com.google.android.gm.permission.WRITE_GMAIL: Könnte eine App mit dieser Berechtigung in meinem Namen E-Mails schreiben und senden? Oder sogar vorhandene Mails löschen (einschließlich der "geschriebenen und gesendeten", um ihre Aktivitäten zu verbergen)?
com.google.android.gm.permission.READ_CONTENT_PROVIDER: Eine App beschreibt ihre Verwendung als "Google Mail-Labels lesen und ungelesene Anzahl erhalten". Ein anderer schreibt: "Wird verwendet, um die Anzahl der ungelesenen E-Mails auf Ihrem Sperrbildschirm zu aktualisieren. E-Mail-Inhalte werden nicht an unsere Server gesendet." Was darauf hindeutet, dass diese Berechtigung verwendet werden kann, um auf den gesamten E-Mail-Inhalt zuzugreifen. Und andere Inhalte?
In einigen Quellcodes habe ich den Kommentar Berechtigungandroid.content.ContentProvider gefunden, der für den Zugriff erforderlich ist , was darauf hindeutet, dass viele Inhalte auf diese Weise zugänglich werden, wenn es sich um DEN Inhaltsanbieter handelt , einschließlich Kontakte und Kalender. Da ich kein Android-Entwickler bin, kann ich es nicht wirklich sagen, ohne es vorher zu erfahren.
google.android.gtalkservice.permission.GTALK_SERVICE: Ja bitte?

Ich habe sie alle "gegoogelt" (das Obige ist bereits das Ergebnis meiner Forschung). Und natürlich habe ich mit meinen Lieblingsquellen angefangen, wenn es um Berechtigungen geht:

die Berechtigungsreferenz bei Android Developers
erklärte Berechtigungen bei AndroidForums.COM
einige Framework-Quellcode bei Github
Mehr Framework-Quellcode bei Android Source
Unsere eigene Referenz unter Was bedeuten die Berechtigungen, die für Anwendungen erforderlich sind?

Aber das Obige ist alles, was ich mir einfallen lassen könnte. Kann jemand mehr Licht ins Dunkel bringen? Auf was kann aus Benutzersicht mit diesen Berechtigungen zugegriffen werden, und welche Auswirkungen hat dies auf den Datenschutz? Ein "guter Polizist / schlechter Polizist" wäre natürlich dankbar :)

permissions privacy

— Izzy
quelle

Haben Sie die Berechtigungen für Google Play Services gesehen? "Fügen Sie jederzeit zusätzliche Berechtigungen hinzu." Ich kann nicht antworten, warum sie dort sind und wie dies zustande kam, aber anekdotisch scheint Google in letzter Zeit allen gApps Berechtigungen hinzuzufügen. Es könnte sein, dass die Frameweork-Dienste / Spiele / Mail / Talk / Plus usw. vereinheitlicht werden. Aber es ist sehr seltsam und sehr alarmierend. Inoffiziell wurde mir gesagt, dass Chrome mehr Code für Personalisierung, Protokollierung usw. enthält als das eigentliche Surfen im Internet. Ich weiß überhaupt nicht, ob das stimmt. Sicherlich gibt es eine Verschiebung bei "allen Berechtigungen!" in letzter Zeit.

— RossC

Könnten Sie etwas mehr Informationen darüber geben, wo Sie diese Berechtigungen sehen? Ich könnte ein wenig für Sie graben, aber ich brauche mindestens den vollständigen Namen jeder Erlaubnis, um zu beginnen (einschließlich der android.permission.oder was auch immer am Anfang). Beachten Sie, dass jede App neue Berechtigungen definieren kann, um zu steuern, wie andere Apps die Funktionen dieser App verwenden.

— Dan Hulme

@ RossC Ja, das ist richtig. Aber die 4 oben gibt es schon seit einiger Zeit - also frage ich nicht nach den "neuesten Fantasien". Da sie von den Google Apps selbst angeboten werden (siehe meine Bearbeitung), werden sie in den AOSP-Manifesten nicht erwähnt. Da es sich bei GApps um proprietären Code handelt, gibt es nicht viel zu untersuchen. // Ich teile deine Meinung über "alarmierend" (diese Glocken sind eine Sache hinter meiner Frage). Und obwohl Ihr Chrome-Beispiel "übertrieben" aussieht, kaufe ich es total ...

— Izzy

Es ist nicht überraschend, dass Chrome neben den Funktionen mehr Code enthält als das Surfen. Der Großteil des Codes zum Rendern von Seiten befindet sich in WebKit (jetzt Blink) und V8, und das Hauptfenster zum Durchsuchen ist im Wesentlichen dasselbe wie bei Chromium Project.

— Lie Ryan

Mehr als ein Jahr später und keine Antwort hier. Ich habe selbst recherchiert - und obwohl nicht viel gefunden wurde, werde ich mitteilen, was ich bisher habe:

com.google.android.gm.permission.READ_GMAIL: Eine gute Vermutung ist, dass dies auf den E-Mail-Inhalt abzielt. Die Schutzstufe wurde zum Zeitpunkt der Veröffentlichung von Gingerbread (mit Google Mail 2.3.5) von "gefährlich" auf "Signatur" umgeschaltet (siehe Android-Volkszählung - daher ist sie (nicht mehr) für Apps von Drittanbietern verfügbar - und daher nur dann relevant, wenn wir dies tun) über System-Apps sprechen.
com.google.android.gm.permission.WRITE_GMAIL: Ermöglicht einer App, Ihre E-Mails in Google Mail zu ändern. Dies umfasst das Senden und Löschen.
Die zugewiesene Schutzstufe unterscheidet sich zwischen den Geräten (gefährlich / Signatur), daher gibt es keinen allgemeinen Hinweis darauf, ob sie Nicht-System-Apps betrifft.
com.google.android.gm.permission.READ_CONTENT_PROVIDER: Dies ist hauptsächlich für den Zugriff auf Informationen zu E-Mails in Google Mail vorgesehen. Entwickler können diesen Inhaltsanbieter verwenden, um dem Benutzer Etiketteninformationen anzuzeigen.
Die Schutzstufe ist "gefährlich". Wenn sich dies nicht inzwischen ändert, wirkt sich diese auf jeden Fall auf Benutzer-Apps aus.
google.android.gtalkservice.permission.GTALK_SERVICE: Ich konnte keine Dokumentation zu dieser Berechtigung finden, die mit Google Talk bzw. verbunden ist. Google Hangouts .
Die zugewiesene Schutzstufe scheint sich zwischen den Geräten zu unterscheiden - daher auch hier keine klare Regel.

— Izzy
quelle

Tolles Update. Es ist erstaunlich, wie wenig verständliche Dokumentation darüber vorhanden ist, wie alle Daten von verschiedenen Apps verwendet werden.

— RockPaperLizard

@RockPaperLizard Das ist es, was ich mich immer frage: Woher wissen die Entwickler, welche Dauerwellen sie benötigen, ohne Dokumentation? Für die Benutzer ist die einzige halbwegs respektable Liste (nicht vollständig, das ist unmöglich) meine eigene - was harte Arbeit war! Also danke für das nette Feedback, schätze es sehr!

— Izzy