30 uprawnień aplikacji, których należy unikać w systemie Android

Opublikowany: 2020-10-02

Czy po prostu wybierasz Akceptuj do wszystkiego, co rzuca się na Ciebie, gdy instalujesz nową aplikację na swoim urządzeniu z Androidem? Większość ludzi to robi. Ale na co się zgadzasz?

Istnieje umowa licencyjna użytkownika końcowego (EULA), a także uprawnienia aplikacji. Niektóre z tych uprawnień aplikacji mogą pozwolić aplikacji i firmie, która ją stworzyła, posunąć się za daleko i naruszyć Twoją prywatność. Musisz wiedzieć, na jakie uprawnienia aplikacji nie chcesz zgodzić się na swoim Androidzie.

Spis treści

    Jakich uprawnień powinieneś unikać? To zależy i zajmiemy się tym dalej. Powinieneś uważać na uprawnienia związane z dostępem:

    • Telefon
    • Audio
    • Lokalizacja
    • Łączność
    • Aparat fotograficzny
    • Kalendarz
    • Wiadomości
    • Biometria
    • Magazyn w chmurze

    Jakie są uprawnienia aplikacji?

    Kiedy instalujesz aplikację, rzadko kiedy zawiera ona wszystko, co jest potrzebne do wykonywania swojej pracy, jest już wbudowane. W systemie Android jest już wiele rzeczy, z którymi aplikacja musi się zintegrować, aby wykonać swoją pracę.

    Załóżmy, że pobierasz aplikację do edycji zdjęć. Twórca aplikacji nie zapisałby pełnej galerii zdjęć ani oprogramowania aparatu do samej aplikacji. Po prostu poproszą o dostęp do tych rzeczy. Dzięki temu aplikacje są małe i wydajne, a Twój Android nie wypełnia się zduplikowanym kodem aplikacji.

    Jakich uprawnień aplikacji powinienem unikać?

    Dla programistów Androida uprawnienia są podzielone na 2 grupy: normalne i niebezpieczne.

    Normalne uprawnienia są uważane za bezpieczne i często są domyślnie dozwolone bez Twojej wyraźnej zgody. Niebezpieczne uprawnienia to takie, które mogą stanowić zagrożenie dla Twojej prywatności.

    Przyjrzymy się 30 niebezpiecznym uprawnieniom wymienionym w materiałach referencyjnych Google dla programistów aplikacji na Androida. Zostanie wyświetlona nazwa zezwolenia wraz z cytatem z Dokumentacji programisty o tym, na co zezwolenie zezwala. Następnie krótko wyjaśnimy, dlaczego może to być niebezpieczne. Są to uprawnienia aplikacji, których możesz chcieć uniknąć, jeśli to możliwe

    AKCEPTUJ_PRZEKAZANIE

    „Zezwala aplikacji do wykonywania połączeń na kontynuowanie połączenia rozpoczętego w innej aplikacji”.

    To uprawnienie pozwala na przekazanie połączenia do aplikacji lub usługi, o której możesz nie wiedzieć. Może to kosztować Cię, jeśli przeniesie Cię do usługi, która wykorzystuje Twój limit danych zamiast abonamentu komórkowego. Można go również wykorzystać do potajemnego nagrywania rozmów.

    ACCESS_BACKGROUND_LOCATION

    „Umożliwia aplikacji dostęp do lokalizacji w tle. Jeśli prosisz o to pozwolenie, musisz również poprosić o ACCESS_COARSE_LOCATION lub ACCESS_FINE_LOCATION. Samo żądanie tego pozwolenia nie daje dostępu do lokalizacji”.

    Jak mówi Google, samo to uprawnienie nie będzie Cię śledzić. Ale może pozwolić Ci być śledzonym, nawet jeśli uważasz, że zamknąłeś aplikację i nie śledzi już Twojej lokalizacji.

    ACCESS_COARSE_LOCATION

    „Umożliwia aplikacji dostęp do przybliżonej lokalizacji”.

    Dokładność przybliżonej lokalizacji lokalizuje Cię w ogólnym obszarze na podstawie wieży komórkowej, z którą łączy się urządzenie. Pomocne jest, aby służby ratunkowe zlokalizowały Cię podczas kłopotów, ale nikt inny tak naprawdę nie potrzebuje tych informacji.

    ACCESS_FINE_LOCATION

    „Umożliwia aplikacji dostęp do dokładnej lokalizacji”.

    Kiedy mówią precyzyjne, mają to na myśli. Uprawnienie do dokładnej lokalizacji użyje danych GPS i Wi-Fi, aby wskazać, gdzie jesteś. Dokładność może wynosić kilka stóp, prawdopodobnie określając, w którym pokoju się znajdujesz.

    ACCESS_MEDIA_LOCATION

    „Umożliwia aplikacji dostęp do dowolnych lokalizacji geograficznych utrwalonych we wspólnej kolekcji użytkownika”.

    Jeśli nie wyłączyłeś geotagowania na zdjęciach i filmach, ta aplikacja może przejrzeć je wszystkie i zbudować dokładny profil miejsca, w którym się znajdowałeś, na podstawie danych w plikach zdjęć.

    AKTYWNOŚĆ_ROZPOZNAWANIE

    „Umożliwia aplikacji rozpoznawanie aktywności fizycznej”.

    Samo w sobie może wydawać się niewiele. Jest często używany przez narzędzia do śledzenia aktywności, takie jak FitBit. Ale połącz je z innymi informacjami o lokalizacji, a będą mogli dowiedzieć się, co robisz i gdzie to robisz.

    ADD_VOICEMAIL

    „Pozwala aplikacji na dodawanie wiadomości głosowych do systemu”.

    Może to zostać wykorzystane do celów phishingowych. Wyobraź sobie, że dodajesz pocztę głosową ze swojego banku z prośbą o telefon, ale podany numer nie należy do banku.

    ANSWER_PHONE_CALLS

    „Zezwala aplikacji na odbieranie przychodzących połączeń telefonicznych”.

    Możesz zobaczyć, jaki może to być problem. Wyobraź sobie, że aplikacja po prostu odbiera Twoje telefony i robi z nimi, co tylko zechce.

    BODY_SENSORS

    „Umożliwia aplikacji dostęp do danych z czujników, których użytkownik używa do pomiaru tego, co dzieje się w jego ciele, na przykład tętna”.

    To kolejny przypadek, w którym same informacje mogą niewiele znaczyć, ale w połączeniu z informacjami z innych czujników mogą okazać się bardzo odkrywcze.

    CALL_PHONE

    „Umożliwia aplikacji inicjowanie połączenia telefonicznego bez przechodzenia przez interfejs użytkownika Dialera, aby użytkownik mógł potwierdzić połączenie”.

    To wystarczająco przerażające, by pomyśleć, że aplikacja może nawiązać połączenie telefoniczne bez Twojej wiedzy. Następnie zastanów się, jak może zadzwonić pod numer 1-900 i możesz być na haczyku za setki lub tysiące dolarów.

    APARAT FOTOGRAFICZNY

    „Wymagane, aby móc uzyskać dostęp do urządzenia z kamerą”.

    Wiele aplikacji będzie chciało korzystać z aparatu. Ma to sens w przypadku edycji zdjęć lub mediów społecznościowych. Ale jeśli prosta gra dla dzieci wymaga tego pozwolenia, to po prostu przerażające.

    READ_CALENDAR

    „Umożliwia aplikacji odczytywanie danych kalendarza użytkownika”.

    Aplikacja wiedziałaby, gdzie będziesz i kiedy. Jeśli robisz notatki przy swoich spotkaniach, będziesz wiedział również, dlaczego tam jesteś. Dodaj do informacji o lokalizacji, a aplikacja będzie wiedziała, jak tam dotarłeś.

    WRITE_CALENDAR

    „Zezwala aplikacji na zapisywanie danych kalendarza użytkownika”.

    Zły aktor może to wykorzystać, aby umieścić spotkania w twoim kalendarzu, co sprawi, że będziesz myślał, że będziesz musiał iść gdzieś, gdzie nie jesteś, lub zadzwonić do kogoś, kogo nie potrzebujesz.

    READ_CALL_LOG

    „Umożliwia aplikacji odczytywanie rejestru połączeń użytkownika”.

    Z kim i kiedy rozmawiamy, może bardzo wiele powiedzieć o naszym życiu. Dzwonisz do współpracownika w ciągu dnia? Normalna. Dzwonisz do nich o 2 w nocy w sobotni wieczór? Nie tak normalne.

    WRITE_CALL_LOG

    „Umożliwia aplikacji zapisywanie (ale nie odczytywanie) danych rejestru połączeń użytkownika”.

    Jest to mało prawdopodobne, ale złośliwa aplikacja może dodać dzienniki połączeń, aby coś skonfigurować.

    PRZECZYTAJ_KONTAKTY

    „Umożliwia aplikacji odczytywanie danych kontaktów użytkownika”.

    Podobnie jak w przypadku czytania dziennika połączeń, lista kontaktów danej osoby wiele o niej mówi. Ponadto lista może zostać wykorzystana do wyłudzenia informacji od znajomych, co sprawi, że będą myśleć, że to ty do nich wysyłasz wiadomości. Może być również używany do rozwijania marketingowej listy e-mail, którą firma może następnie sprzedać reklamodawcom.

    WRITE_CONTACTS

    „Zezwala aplikacji na zapisywanie danych kontaktów użytkownika”.

    Co by było, gdyby można było użyć tego do edycji lub nadpisania kontaktów? Wyobraź sobie, że zmienił numer twojego brokera kredytów hipotecznych na inny, a ty dzwonisz do oszusta i przekazujesz mu swoje informacje finansowe.

    READ_EXTERNAL_STORAGE

    „Zezwala aplikacji na odczyt z pamięci zewnętrznej”.

    Każdy magazyn danych podłączany do urządzenia, taki jak karta microSD, a nawet laptop, może być dostępny, jeśli zezwolisz na to uprawnienie.

    WRITE_EXTERNAL_STORAGE

    „Zezwala aplikacji na zapisywanie w pamięci zewnętrznej”.

    Jeśli przyznasz to uprawnienie, to uprawnienie READ_EXTERNAL_STORAGE również zostanie przyznane niejawnie. Teraz aplikacja może robić, co chce, z dowolnym podłączonym magazynem danych.

    READ_PHONE_NUMBERS

    „Umożliwia dostęp do odczytu numerów telefonów urządzenia. “

    Jeśli aplikacja o to poprosi, a Ty to przyznasz, aplikacja zna teraz Twój numer telefonu. Spodziewaj się, że wkrótce otrzymasz robocalls, jeśli aplikacja jest pobieżna.

    READ_PHONE_STATE

    „Umożliwia dostęp tylko do odczytu do stanu telefonu, w tym aktualnych informacji o sieci komórkowej, stanu wszelkich trwających połączeń oraz listy wszystkich kont telefonicznych zarejestrowanych na urządzeniu”.

    To uprawnienie może być wykorzystane do ułatwienia podsłuchiwania i śledzenia Cię przez sieć, w której się znajdujesz.

    READ_SMS

    „Zezwala aplikacji na odczytywanie wiadomości SMS”.

    Ponownie, kolejny sposób na podsłuchiwanie Ciebie i zbieranie danych osobowych. Tym razem czytając Twoje sms-y.

    WYŚLIJ SMS

    „Zezwala aplikacji na wysyłanie wiadomości SMS”.

    Może to być wykorzystane do zarejestrowania Cię w płatnych usługach SMS-owych, takich jak otrzymywanie codziennego horoskopu. Może to szybko kosztować dużo pieniędzy.

    ODBIERZ_MMS

    „Zezwala aplikacji na monitorowanie przychodzących wiadomości MMS”.

    Aplikacja będzie mogła zobaczyć wszystkie zdjęcia lub filmy, które zostały do ​​Ciebie wysłane.

    ODBIERZ_SMS

    „Zezwala aplikacji na odbieranie wiadomości SMS”.

    Ta aplikacja pozwoliłaby na monitorowanie wiadomości tekstowych.

    RECEIVE_WAP_PUSH

    „Umożliwia aplikacji odbieranie wiadomości WAP push”.

    Wiadomość WAP Push to wiadomość będąca jednocześnie łączem internetowym. Wybranie wiadomości może spowodować otwarcie witryny internetowej zawierającej phishing lub złośliwe oprogramowanie.

    NAGRAĆ DŹWIĘK

    „Zezwala aplikacji na nagrywanie dźwięku”.

    Jeszcze jeden sposób na podsłuchiwanie ludzi. Poza tym istnieje zaskakująca ilość rzeczy, których możesz się nauczyć z dźwięków wokół osoby, nawet jeśli nie mówi.

    USE_SIP

    „Zezwala aplikacji na korzystanie z usługi SIP”.

    Jeśli nie wiesz, czym jest sesja SIP, pomyśl o Skype lub Zoom. Są to komunikaty, które odbywają się za pośrednictwem połączenia VoIP. To tylko kolejny sposób, w jaki złośliwa aplikacja może Cię oglądać i słuchać.

    Czy powinienem unikać wszystkich uprawnień Androida?

    Musimy spojrzeć na uprawnienia w kontekście tego, co chcemy, aby aplikacja dla nas zrobiła. Gdybyśmy mieli zablokować wszystkie te uprawnienia dla każdej aplikacji, żadna z naszych aplikacji nie działałaby.

    Pomyśl o swoim urządzeniu z Androidem jak o swoim domu. Dla naszej analogii wyobraź sobie aplikację jako mechanika wchodzącego do Twojego domu. Mają do wykonania określoną pracę i będą potrzebować dostępu do niektórych części domu, ale nie do innych.

    Jeśli masz hydraulika, który naprawi zlew kuchenny, będzie potrzebować Twojej zgody, aby uzyskać dostęp do zlewu i rur, które dostarczają i odprowadzają wodę. Otóż ​​to. Więc gdyby hydraulik poprosił o obejrzenie twojej sypialni, stałbyś się podejrzliwy w stosunku do tego, co robią. To samo dotyczy aplikacji. Pamiętaj o tym, zgadzając się na uprawnienia aplikacji.