30 uprawnień aplikacji, których należy unikać w systemie Android

Czy po prostu wybierasz Akceptuj(Accept ) do wszystkiego, co rzuca się na Ciebie, gdy instalujesz nową aplikację na swoim urządzeniu z Androidem(new app on your Android device) ? Większość ludzi to robi. Ale na co się zgadzasz? 

Istnieje umowa licencyjna użytkownika(End User Licensing Agreement) końcowego ( EULA ), a także uprawnienia aplikacji. Niektóre z tych uprawnień aplikacji mogą pozwolić aplikacji i firmie, która ją stworzyła, posunąć się za daleko i naruszyć Twoją prywatność. Musisz wiedzieć, na jakie uprawnienia aplikacji nie chcesz wyrażać zgody na swoim urządzeniu z Androidem(Android) .

Jakich uprawnień powinieneś unikać? To zależy i zajmiemy się tym dalej. Powinieneś uważać na uprawnienia związane z dostępem:

  • Telefon
  • Audio
  • Lokalizacja
  • Łączność
  • Kamera
  • Kalendarz
  • Wiadomości
  • Biometria(Biometrics)
  • Magazyn w chmurze

Jakie są uprawnienia aplikacji?(What Are App Permissions?)

Kiedy instalujesz aplikację, rzadko kiedy zawiera ona wszystko, co jest potrzebne do wykonywania swojej pracy, jest już wbudowane. W systemie Android jest już wiele rzeczy, z którymi aplikacja musi się zintegrować, aby wykonać swoją pracę.

Załóżmy, że pobierasz aplikację do edycji zdjęć(download a photo editing app) . Twórca aplikacji nie zapisałby pełnej galerii zdjęć ani oprogramowania aparatu do samej aplikacji. Po prostu poproszą o dostęp do tych rzeczy. Dzięki temu aplikacje są małe i wydajne, a Twój Android nie wypełnia się zduplikowanym kodem aplikacji.

Jakich uprawnień aplikacji powinienem unikać?(What App Permissions Should I Avoid?)

Dla programistów Androida(Android) uprawnienia są podzielone na 2 grupy: normalne i niebezpieczne.

Normalne uprawnienia są uważane za bezpieczne i często są domyślnie dozwolone bez Twojej wyraźnej zgody. Niebezpieczne uprawnienia to takie, które mogą stanowić zagrożenie dla Twojej prywatności. 

Przyjrzymy się 30 niebezpiecznym uprawnieniom wymienionym w materiałach referencyjnych Google dla programistów aplikacji na Androida( Android Developer’s Reference) . Zostanie wyświetlona nazwa zezwolenia wraz z cytatem z Dokumentacji(Reference) programisty o tym, na co zezwolenie zezwala. Następnie krótko wyjaśnimy, dlaczego może to być niebezpieczne. Są to uprawnienia aplikacji, których możesz(may) chcieć uniknąć, jeśli to możliwe

AKCEPTUJ_PRZEKAZANIE(ACCEPT_HANDOVER)

„Zezwala aplikacji do wykonywania połączeń na kontynuowanie połączenia rozpoczętego w innej aplikacji”.

To uprawnienie umożliwia przekazanie połączenia do aplikacji lub usługi, o której możesz nie wiedzieć. Może to kosztować Cię, jeśli przeniesie Cię do usługi, która wykorzystuje Twój limit danych zamiast abonamentu komórkowego. Może być również używany do potajemnego nagrywania rozmów.

ACCESS_BACKGROUND_LOCATION

„Umożliwia aplikacji dostęp do lokalizacji w tle. Jeśli prosisz o to pozwolenie, musisz również poprosić o ACCESS_COARSE_LOCATION lub ACCESS_FINE_LOCATION . Samo żądanie tego pozwolenia nie daje dostępu do lokalizacji”.

Jak mówi Google , samo to uprawnienie nie będzie Cię śledzić. Ale może pozwolić Ci być śledzonym(allow you to be tracked) , nawet jeśli uważasz, że zamknąłeś aplikację i nie śledzi już Twojej lokalizacji.

ACCESS_COARSE_LOCATION

„Umożliwia aplikacji dostęp do przybliżonej lokalizacji”.

Dokładność przybliżonej lokalizacji lokalizuje Cię w ogólnym obszarze na podstawie wieży komórkowej, z którą łączy się urządzenie. Pomocne jest, aby służby ratunkowe zlokalizowały Cię podczas kłopotów, ale nikt inny tak naprawdę nie potrzebuje tych informacji.

ACCESS_FINE_LOCATION

„Umożliwia aplikacji dostęp do dokładnej lokalizacji”.

Kiedy mówią precyzyjne, mają to na myśli. Uprawnienie do dokładnej lokalizacji użyje danych GPS i Wi(WiFi) -Fi , aby wskazać, gdzie jesteś. Dokładność może wynosić kilka stóp, prawdopodobnie określając, w którym pokoju się znajdujesz w swoim domu.

ACCESS_MEDIA_LOCATION

„Umożliwia aplikacji dostęp do dowolnych lokalizacji geograficznych utrwalonych we wspólnej kolekcji użytkownika”.

Jeśli nie wyłączyłeś geotagowania zdjęć i filmów(turned off geotagging on your pictures and videos) , ta aplikacja może przejrzeć je wszystkie i utworzyć dokładny profil miejsca, w którym się znajdujesz, na podstawie danych w plikach zdjęć(build an accurate profile of where you’ve been based on data in your photo files) .

AKTYWNOŚĆ_ROZPOZNAWANIE(ACTIVITY_RECOGNITION)

„Umożliwia aplikacji rozpoznawanie aktywności fizycznej”.

Samo w sobie może wydawać się niewiele. Jest często używany przez narzędzia do śledzenia aktywności, takie jak FitBit(activity trackers like FitBit) . Ale połącz je z innymi informacjami o lokalizacji, a oni będą mogli dowiedzieć się, co robisz i gdzie to robisz.

ADD_VOICEMAIL

„Pozwala aplikacji na dodawanie wiadomości głosowych do systemu”.

Może to zostać wykorzystane do celów phishingowych. Wyobraź sobie(Imagine) , że dodajesz pocztę głosową(voicemail) ze swojego banku z prośbą o telefon, ale podany numer nie należy do banku.

ANSWER_PHONE_CALLS

„Zezwala aplikacji na odbieranie przychodzących połączeń telefonicznych”.

Możesz zobaczyć, jaki może to być problem. Wyobraź sobie(Imagine) , że aplikacja po prostu odbiera Twoje telefony i robi z nimi, co tylko zechce.

BODY_SENSORS

„Umożliwia aplikacji dostęp do danych z czujników, których użytkownik używa do pomiaru tego, co dzieje się w jego ciele, na przykład tętna(sensors that the user uses to measure what is happening inside their body, such as heart rate) ”.

To kolejny przypadek, w którym same informacje mogą niewiele znaczyć, ale w połączeniu z informacjami z innych czujników mogą okazać się bardzo odkrywcze. 

CALL_PHONE

„Umożliwia aplikacji inicjowanie połączenia telefonicznego bez przechodzenia przez interfejs użytkownika Dialera , aby użytkownik mógł potwierdzić połączenie”.(Dialer)

To wystarczająco przerażające, aby pomyśleć, że aplikacja może nawiązać połączenie telefoniczne bez Twojej wiedzy. Następnie pomyśl o tym, jak może zadzwonić pod numer 1-900 i możesz być na haczyku za setki lub tysiące dolarów.

KAMERA(CAMERA)

„Wymagane, aby móc uzyskać dostęp do urządzenia z kamerą”.

Wiele aplikacji będzie chciało korzystać z aparatu. Ma to sens w przypadku edycji zdjęć lub mediów społecznościowych. Ale jeśli prosta gra dla dzieci wymaga tego pozwolenia, to po prostu przerażające.

READ_CALENDAR

„Umożliwia aplikacji odczytywanie danych kalendarza(calendar data) użytkownika ”.

Aplikacja wiedziałaby, gdzie będziesz i kiedy. Jeśli robisz notatki przy swoich spotkaniach, będzie również wiedział, dlaczego tam jesteś. Dodaj do informacji o lokalizacji, a aplikacja będzie wiedziała, jak tam dotarłeś.

WRITE_CALENDAR

„Zezwala aplikacji na zapisywanie danych kalendarza użytkownika”.

Zły aktor może to wykorzystać, aby umieścić spotkania w twoim kalendarzu, co sprawi, że będziesz myślał, że będziesz musiał iść gdzieś, gdzie nie jesteś, lub zadzwonić do kogoś, kogo nie potrzebujesz.

READ_CALL_LOG

„Umożliwia aplikacji odczytywanie rejestru połączeń użytkownika”.

Z kim i kiedy rozmawiamy, może bardzo wiele powiedzieć o naszym życiu. Dzwonisz do współpracownika w ciągu dnia? Normalny(Normal) . Dzwonisz do nich o 2 w nocy w sobotni(Saturday) wieczór? Nie tak normalne.

WRITE_CALL_LOG

„Umożliwia aplikacji zapisywanie (ale nie odczytywanie) danych rejestru połączeń użytkownika”.

Jest to mało prawdopodobne, ale złośliwa aplikacja może dodać dzienniki połączeń, aby coś skonfigurować. 

PRZECZYTAJ_KONTAKTY(READ_CONTACTS)

„Umożliwia aplikacji odczytywanie danych kontaktów użytkownika”.

Podobnie jak w przypadku czytania dziennika połączeń, lista kontaktów danej osoby(person’s contact list) wiele o niej mówi. Ponadto lista może służyć do wyłudzania informacji od znajomych, co sprawia, że ​​myślą, że to ty do nich wysyłasz wiadomości. Może być również używany do rozwijania marketingowej listy e-mail, którą firma może następnie sprzedać reklamodawcom.

WRITE_CONTACTS

„Zezwala aplikacji na zapisywanie danych kontaktów użytkownika”.

Co by było, gdyby można było użyć tego do edycji lub nadpisania kontaktów? Wyobraź sobie(Imagine) , że zmienił numer Twojego brokera kredytów hipotecznych na inny, a Ty zadzwonisz do oszusta i przekażesz mu swoje informacje finansowe.

READ_EXTERNAL_STORAGE

„Zezwala aplikacji na odczyt z pamięci zewnętrznej”.

Każdy magazyn danych podłączany do urządzenia, taki jak karta microSD,(microSD card) a nawet laptop, może być dostępny, jeśli zezwolisz na to uprawnienie.

WRITE_EXTERNAL_STORAGE

„Zezwala aplikacji na zapisywanie w pamięci zewnętrznej”.

Jeśli przyznasz to uprawnienie, to uprawnienie READ_EXTERNAL_STORAGE również zostanie przyznane niejawnie. Teraz aplikacja może robić, co chce, z dowolnym podłączonym magazynem danych.

READ_PHONE_NUMBERS

Umożliwia(Allows) dostęp do odczytu numerów telefonów urządzenia. “

Jeśli aplikacja o to poprosi, a Ty to przyznasz, aplikacja zna teraz Twój numer telefonu. Spodziewaj się, że wkrótce otrzymasz robocalls(get some robocalls) , jeśli aplikacja jest pobieżna.

READ_PHONE_STATE

Umożliwia(Allows) dostęp tylko do odczytu do stanu telefonu, w tym aktualnych informacji o sieci komórkowej, stanu wszelkich trwających połączeń oraz listy wszystkich kont telefonicznych zarejestrowanych na urządzeniu”.

To uprawnienie może być wykorzystane do ułatwienia podsłuchiwania i śledzenia Cię przez sieć, w której się znajdujesz.

READ_SMS

„Zezwala aplikacji na odczytywanie wiadomości SMS ”.

Ponownie(Again) , kolejny sposób na podsłuchiwanie Ciebie i zbieranie danych osobowych. Tym razem czytając Twoje sms-y.

WYŚLIJ SMS(SEND_SMS)

„Zezwala aplikacji na wysyłanie wiadomości SMS(SMS messages) .”

Może to być wykorzystane do zarejestrowania Cię w płatnych usługach SMS-owych, takich jak otrzymywanie codziennego horoskopu. Może to szybko kosztować dużo pieniędzy.

ODBIERZ_MMS(RECEIVE_MMS)

„Zezwala aplikacji na monitorowanie przychodzących wiadomości MMS ”.

Aplikacja będzie mogła zobaczyć wszystkie zdjęcia lub filmy, które zostały do ​​Ciebie wysłane.

ODBIERZ_SMS(RECEIVE_SMS)

„Zezwala aplikacji na odbieranie wiadomości SMS ”.

Ta aplikacja pozwoliłaby na monitorowanie wiadomości tekstowych.

RECEIVE_WAP_PUSH

„Umożliwia aplikacji odbieranie wiadomości WAP push”.

Wiadomość WAP Push to wiadomość będąca jednocześnie łączem internetowym. Wybranie wiadomości może spowodować otwarcie witryny internetowej zawierającej phishing lub złośliwe oprogramowanie.

NAGRAĆ DŹWIĘK(RECORD_AUDIO)

„Zezwala aplikacji na nagrywanie dźwięku”.

Jeszcze jeden sposób na podsłuchiwanie ludzi. Poza tym istnieje zaskakująca ilość rzeczy, których możesz się nauczyć z dźwięków wokół osoby, nawet jeśli nie mówi.

USE_SIP

„Zezwala aplikacji na korzystanie z usługi SIP ”.

Jeśli nie wiesz, co to jest sesja SIP, pomyśl o Skype lub Zoom(Skype or Zoom) . Są to komunikaty, które odbywają się za pośrednictwem połączenia VoIP . To tylko kolejny sposób, w jaki złośliwa aplikacja może Cię oglądać i słuchać.

Czy powinienem unikać wszystkich uprawnień Androida?(Should I Avoid All Android Permissions?)

Musimy spojrzeć na uprawnienia w kontekście tego, co chcemy, aby aplikacja dla nas zrobiła. Gdybyśmy mieli zablokować wszystkie te uprawnienia dla każdej aplikacji, żadna z naszych aplikacji nie działałaby.

Pomyśl(Think) o swoim urządzeniu z Androidem(Android) jak o domu. Dla naszej analogii wyobraź sobie aplikację jako mechanika wchodzącego do Twojego domu. Mają do wykonania określoną pracę i będą potrzebować dostępu do niektórych części domu, ale nie do innych.

Jeśli masz hydraulika, który naprawi zlew kuchenny, będzie potrzebować Twojej zgody, aby uzyskać dostęp do zlewu i rur, które dostarczają i odprowadzają wodę. Otóż ​​to. Więc gdyby hydraulik poprosił o obejrzenie twojej sypialni, nabrałbyś podejrzeń co do tego, co robią. To samo dotyczy aplikacji. Pamiętaj o tym, zgadzając się na uprawnienia aplikacji.



About the author

Jestem inżynierem oprogramowania i ekspertem od Windows 10. Mam ponad dwuletnie doświadczenie w pracy ze smartfonami, Windows 10 i Microsoft Edge. Moim głównym celem jest sprawienie, aby Twoje urządzenia działały lepiej i szybciej. Pracowałem przy różnych projektach dla firm takich jak Verizon, IMac, HP, Comcast i wielu innych. Jestem również certyfikowanym instruktorem szkoleń w chmurze Microsoft Azure.



Related posts