최근에 ES 파일 탐색기라는 앱이 문제가되서 한가지 생각난 부분을 썼습니다. 미리 밝히자면, 전 백도어라든지 기타 정보 유출에 대해서 옹호할 생각은 없습니다.
예전에 삼성 스마트 매니저가 한때 논란이 되었습니다. 백도어앱으로 의심받았습니다. 한참 해킹관련해서 민감 + 삼성이라 더욱...
그 이유가 온갖 권한들을 요구하고 있어서 였습니다.
안드로이드의 권한은 기삿감으로 좋은 소재입니다.
아래는 모 배달앱이 요구하는 권한입니다.
이제 기자는 이렇게 기사를 쓰면 됩니다.
"유명 배달 앱이 요구하는 권한 보니... 충격!"
"당신의 사진과 음악, 비디오등 파일을 모두 읽을 수 있고, 주소록도 읽을 뿐만 아니라 수정까지 하며, 전화도 자동으로 걸을 수가 있다. 게다가 위치정보도 수집한다!"
그런데 이게 정말 저렇게 써도 틀린말은 아니라는 것입니다. 권한 설명도 저리 되어있습니다.
그래서 저 앱이 진짜 나쁜 앱인지 아닌지를 알려면 코드 뜯어봐야 알 수 있습니다.
사실 구글에서는 알아서 개인정보 수집하고 있습니다.
그래서 저는 안드로이드의 권한 정책이 좀 바뀌어야한다고 생각합니다. 특히 데이터 접근 부분은... 정말 방범위하게 권한을 주고 있다고 생각합니다. 애플처럼 자기 앱 폴더만 접근가능한 권한을 선택할 수 있도록 개발자에게 옵션을 줘도 좋을거 같다고 생각합니다.
물론, 저게 배달앱이라 저런 권한이 있는게 별 이상하지 않지만, 손전등이었다면... 근데 이것도 광고 관련해서(위치 기반등) 권한이 뜬다고도 들은거 같네요.
무언가 이야기가 이상해졌는데(?) 마지막엔 3줄 본론 요약입니다.
1. 권한만 보고서는 백도어를 확신할 수 없다.
2. 구글은 저 권한들을 좀 더 세부적으로 줄 수 있도록(?)
3. 가끔씩은 iOS가 부럽다
그리고 등록하려고 하니..
구글이 권한을 좀 더 세분화해야 한다는 주장에 동감합니다. 아예 권한 템플릿 같은 걸 만들어서 특정 분류에 속한 앱이 필요한 권한만 일괄로 준다던가..