Все знают, какие приложения установлены у вас в телефоне

[Shaman_RSHU]

А можно просто встроить "антивирус" в свой банк-клиент, на получать кучу прав, собрать кучу информации и спокойно отправить "хозяину" по защищенному каналу

[ilyamodder]

Сейчас даже антивирус встраивать не надо. Выкладывайся в какой-нибудь стор с пониженной социальной ответственностью (рустор, например), и запрашивай какие угодно права, стор не будет просить за них пояснить, в отличие от гугл плея.

[VADemon]

Ах, как же хорош walled garden! Гугл делает только самый минимум в плане безопасности и приватности. Если хочется большего, то нет, в системе не предусмотрено. Только кастомная прошивка и похождения по модулям Magisk.

запрашивай какие угодно права

Формально даже дядя Google Play должен докапываться к приложениям, которые без должной на то причины запрашивают левые пермишены, а в случае отказа дать нормально пользоваться приложением. Как в том же WhatsApp с UX, если не дать доступ к контактной книжке? Формально эта лазейка есть и работает, только пользоваться невозможно, потому что каждый контакт останется номером телефона без возможности редактирования. Даже если сначала дать, а потом забрать доступ.

А пользовательского контроля, например: "тебе только эта группа контактов видна" и т.п. нет и не предвидится. С файловым API они так сделали на уровне Android, отчасти даже чересчур строго (выбор отдельного файла/папки, на которые распространяется доступ). Гайки в API закручивают реактивно, по мере злоупотребления. В 2011 году в голову бы не смогло придти отдельное разрешение на уведомления. Но вот, после 100500 ежедневных уведомлений а ля "зайдите сегодня в приложения" мы до этого дошли.

[GfxMod]

Кстати, вот тут и правда боль. Google делает все ровно в обратном направлении относительно вектора здравого смысла.

С файловым API откровенный перебор. Невозможность где-либо сохранить файл так, чтобы его можно было читать другим приложениям - глупость. Закрытие прав доступа на /storage/emulated/0/Android/data до уровня /data/data/ - тоже откровенная глупость.

А обновление взаимодействия с файлами без привязки к версии Android, через приложение Files, вообще противоречит всем канонам обратной совместимости. Поведение системы становится банально непредсказуемым для разработчиков приложений.

Может быть, у руководства разработки Android и есть какие-то здравые мотивы, но на данный момент реализации выглядят грустно

[ilyamodder]

Гугл делает только самый минимум в плане безопасности и приватности.

С этим никто и не спорит. Проблема в том, что рустор не делает даже этого.

[dkfbm]

Я не специалист в разработке для Android, но насколько понимаю, фильтр ACTION_MAIN в показанной выше конфигурации разрешает просматривать все установленные приложения, которые, если упростить, имеют доступ к экрану.

Вот очень заметно, что не специалист 😁

MAIN means that this activity is the entry point of the application, i.e. when you launch the application, this activity is created.

Это просто информация о точке входа в данное приложение для лаунчера, всё.

[daniillnull]

Тем не менее, присутствие этой информации для конкретного приложения дает понять, что оно установлено (и автору статьи интересен именно этот факт)

[dkfbm]

Тем не менее, присутствие этой информации для конкретного приложения дает понять, что оно установлено

Ага, только для того, что эту информацию прочитать, нужно залезть в .arb этого приложения – что довольно проблематично, не зная заранее, что оно установлено.

Паранойя – штука полезная, но прежде, чем публиковать такие пугалки, хорошо бы хоть на базовом уровне понимать, о чём пишешь.

[Arlekcangp]

Зачем куда то лезть? Вот здесь https://developer.android.com/training/package-visibility?hl=ru написано, что этот элемент <queries> влияет на вызовы queryIntentActivities() , getPackageInfo() и getInstalledApplications(). Т е это аналог списка из статьи, только на уровне интентов и там получается, что можно получить список всех приложений, у которых есть интент MAIN. А это как я понимаю большинство.

[Opaspap]

решето

[Hlad]

Интересно, какие приложения надо наставить на телефон, чтобы яндекс/озон/ВБ думали, что ты - расчётливый нищеброд, который не будет переплачивать?

[ImagineTables]

Из картинки мне показалось, что MXPlayer. Уровень жизни: Индия-3.

Не знаю, за что его так, бедолагу. Нормальный же плеер. Может, это означает того, кто качает и смотрит файлы, а не онлайн-кинотеатры?

[slonopotamus]

А нельзя ли как-то так организовать экосистему чтобы пользователю не надо было бояться каждого приложения...

[Forden]

Можно. Но пользователям это не нужно. Пользователям нужна Сири с доступом к экрану и прочие "прелести" технологий.

[putnik]

Очевидным решением кажется прописывание в манифесте приложения, кто может его видеть, а не какие приложения оно само может видеть. Очень интересно, почему решили так не делать.

[masterthemac]

Замучаешься обновлять этот список, а обновлять придется, т.к. приложения появляются все время.

[rombell]

Детали не знал, но в целом так и представлял картинку. Поэтому практически всё у меня ставится в рабочий профиль под Shelter с автозаморозкой. В результате, насколько я понимаю, они друг друга не видят. И в фоне не сидят, и контактов видят ровно 0, и СМСки не получают.