Официально вышел Android 2.2. Анализ угроз при использовании каталога Android Market
Компания Google официально выпустила релиз мобильной платформы Android 2.2 и опубликовала все связанные с ними исходные тексты. Из особенностей новой версии можно отметить реализацию значительно увеличивающего производительность приложений JIT-компилятора, обновление встроенного web-браузера, добавление возможности выбора типа носителя для установки программ (SD-карта или встроенный Flash), улучшение мультимедиа функций, переход на Linux ядро 2.6.32, добавление возможности по обмену данными через Bluetooth, поддержку работы телефона в виде модема и другие возможности, прочитать о которых можно в тексте анонса Android SDK 2.2, опубликованного в прошлом месяце.Прошивка Android 2.2 доступна со вчерашнего дня через автоматические средства обновления для телефонов Nexus One, основанных на платформе Android 2.1. Возможность свободного использования Android 2.2 также теперь доступна для OEM-производителей, готовящих к выпуску новые модели телефонов или планирующих подготовить обновление для уже выпущенных устройств. Особый интерес вызывает статистика взрывного роста популярности платформы, если месяц назад в среднем ежедневно пользователями активировалось около 100 тыс. новых телефонов, то сейчас этот показатель вырос до 160 тысяч.
Кроме добавленных в Android 2.2 пользовательских улучшений, за кадром осталось несколько существенных изменений в процессе разработки платформы. Исходные тексты Android 2.2 подверглись реструктуризации, разделения на модули и более жесткого разграничения связанного с платформой закрытого и свободного ПО. Исходные тексты подверглись чистке, особенно в плане удаления непреднамеренной зависимости некоторых частей системы от закрытых компонентов. Переработке также подверглась система сборки, в основную кодовую базу интегрированы все необходимые для сборки собственными силами конфигурационные файлы. Предпринятые улучшения значительно упрощают процесс создания собственных полностью свободных сборок Android и адаптации программной платформы для новых аппаратных устройств. Отныне любой энтузиаст, загрузив исходные тексты с сайта и запустив несколько команд, может собрать Android для эмулятора или одного из базовых целевых устройств (Dream/ADP1, Sapphire/ADP2 и Passion/Nexus One).
Судя по приведенным в анонсе данным, при подготовке Android 2.2 в кодовую базу проекта было принято несколько сотен изменений, подготовленных сторонними разработчиками не связанными с компанией Google. Кроме индивидуальных энтузиастов к разработке подключилось более двадцати компаний. Общее число зарегистрированных на серевере рецензирования кода разработчиков превысило отметку в 4 тысячи участников, при этом в среднем от каждого разработчика получено по два патча.
Компания Google не осталась в долгу и открыла несколько связанных с поддержкой аппаратного обеспечения библиотек, ранее распространяемых только в закрытом виде (например, открыт код поддержки мультимедиа возможностей чипсетов Qualcomm). Также компания Google ускорила процесс проверки присылаемых патчей, если раньше подтверждения приходилось ждать несколько недель, то теперь такая проверка занимает не более нескольких дней. По статистике компании из всех присланных изменений 80% были приняты в основной репозиторий проекта и затем вошли в официальный релиз. Google также подчеркивает, что все связанные с разработкой инструменты, такие как Eclipse-плагин для разработки приложений, эмулятор платформы и другие части SDK, разрабатываются не за закрытыми дверями, а в полном соответствии с принципами открытого ПО, что позволяет разработчикам прикладного ПО участвовать в улучшении инструментов для его создания.
Анализ угроз при использовании каталога Android Market
В заключение, хотелось бы упомянуть несколько неприятных моментов. Продолжая тему возможного появления в каталоге Android Market троянских приложений, направленных на выполнение корыстных или злонамеренных действий, компания SMobile Systems провела анализ более 48 тыс. представленных в каталоге программ. Результаты оказались неутешительными.
При установке новых программ, при использовании в приложении расширенных возможностей, таких как осуществление звонков, доступ к личной информации пользователя, выполнение сетевых операций или отправка СМС, инсталлятор требует от пользователя подтвердить обоснованность установки такого приложения. Многие пользователи телефонов на базе Android не раз замечали, что очень часто программы требуют для своего выполнения функций, не свойственных их назначению. Например, программа для принудительного завершения задач, может потребовать включения для нее функций отправки SMS и обращения к внешним сетевым ресурсам. Часто такое поведение вполне документировано, например, доступ к сети нужен для организации показа рекламы.
По статистике SMobile Systems 20% из всех представленных в Android Market программ требуют для своей работы открытия доступа к персональным или по умолчанию закрытым данным. В 5% из всех представленных в каталоге программ требуется включение возможности инициирования телефонных звонков на любой номер без участия пользователя, 2% процента программ запрашивают возможность автоматизированной отправки SMS. Насколько такая необходимость оправдана в приведенной статистике не упоминается, с одной стороны для программы по управлению адресной книгой доступ к персональной информации вполне приемлем, но с другой стороны, часто такие данные приложение запрашивает без прямой необходимости.
Компания Google отреагировала на представленную информацию сообщением в котором сообщается, что отныне будет введена практика жесткого удаления из каталога Android Market всех программ, нарушающих регламент сервиса или заподозренных в выполнении нечистоплотных операций. Более того, сообщается, что при необходимости Google может прибегнуть к уже разработанной технологии удаленного блокирования приложений, установленных на телефонах конечных пользователей, если такие приложения содержат злонамеренные функции. Отдельно подчеркивается, что удаление не будет производиться молча, перед удалением пользователю будет выведено соответствующее предупреждение и потребовано подтверждение операции.
© OpenNet