30 uprawnień aplikacji, których należy unikać w systemie Android
Czy po prostu wybierasz Akceptuj(Accept ) do wszystkiego, co rzuca się na Ciebie, gdy instalujesz nową aplikację na swoim urządzeniu z Androidem(new app on your Android device) ? Większość ludzi to robi. Ale na co się zgadzasz?
Istnieje umowa licencyjna użytkownika(End User Licensing Agreement) końcowego ( EULA ), a także uprawnienia aplikacji. Niektóre z tych uprawnień aplikacji mogą pozwolić aplikacji i firmie, która ją stworzyła, posunąć się za daleko i naruszyć Twoją prywatność. Musisz wiedzieć, na jakie uprawnienia aplikacji nie chcesz wyrażać zgody na swoim urządzeniu z Androidem(Android) .
Jakich uprawnień powinieneś unikać? To zależy i zajmiemy się tym dalej. Powinieneś uważać na uprawnienia związane z dostępem:
- Telefon
- Audio
- Lokalizacja
- Łączność
- Kamera
- Kalendarz
- Wiadomości
- Biometria(Biometrics)
- Magazyn w chmurze
Jakie są uprawnienia aplikacji?(What Are App Permissions?)
Kiedy instalujesz aplikację, rzadko kiedy zawiera ona wszystko, co jest potrzebne do wykonywania swojej pracy, jest już wbudowane. W systemie Android jest już wiele rzeczy, z którymi aplikacja musi się zintegrować, aby wykonać swoją pracę.
Załóżmy, że pobierasz aplikację do edycji zdjęć(download a photo editing app) . Twórca aplikacji nie zapisałby pełnej galerii zdjęć ani oprogramowania aparatu do samej aplikacji. Po prostu poproszą o dostęp do tych rzeczy. Dzięki temu aplikacje są małe i wydajne, a Twój Android nie wypełnia się zduplikowanym kodem aplikacji.
Jakich uprawnień aplikacji powinienem unikać?(What App Permissions Should I Avoid?)
Dla programistów Androida(Android) uprawnienia są podzielone na 2 grupy: normalne i niebezpieczne.
Normalne uprawnienia są uważane za bezpieczne i często są domyślnie dozwolone bez Twojej wyraźnej zgody. Niebezpieczne uprawnienia to takie, które mogą stanowić zagrożenie dla Twojej prywatności.
Przyjrzymy się 30 niebezpiecznym uprawnieniom wymienionym w materiałach referencyjnych Google dla programistów aplikacji na Androida( Android Developer’s Reference) . Zostanie wyświetlona nazwa zezwolenia wraz z cytatem z Dokumentacji(Reference) programisty o tym, na co zezwolenie zezwala. Następnie krótko wyjaśnimy, dlaczego może to być niebezpieczne. Są to uprawnienia aplikacji, których możesz(may) chcieć uniknąć, jeśli to możliwe
AKCEPTUJ_PRZEKAZANIE(ACCEPT_HANDOVER)
„Zezwala aplikacji do wykonywania połączeń na kontynuowanie połączenia rozpoczętego w innej aplikacji”.
To uprawnienie umożliwia przekazanie połączenia do aplikacji lub usługi, o której możesz nie wiedzieć. Może to kosztować Cię, jeśli przeniesie Cię do usługi, która wykorzystuje Twój limit danych zamiast abonamentu komórkowego. Może być również używany do potajemnego nagrywania rozmów.
ACCESS_BACKGROUND_LOCATION
„Umożliwia aplikacji dostęp do lokalizacji w tle. Jeśli prosisz o to pozwolenie, musisz również poprosić o ACCESS_COARSE_LOCATION lub ACCESS_FINE_LOCATION . Samo żądanie tego pozwolenia nie daje dostępu do lokalizacji”.
Jak mówi Google , samo to uprawnienie nie będzie Cię śledzić. Ale może pozwolić Ci być śledzonym(allow you to be tracked) , nawet jeśli uważasz, że zamknąłeś aplikację i nie śledzi już Twojej lokalizacji.
ACCESS_COARSE_LOCATION
„Umożliwia aplikacji dostęp do przybliżonej lokalizacji”.
Dokładność przybliżonej lokalizacji lokalizuje Cię w ogólnym obszarze na podstawie wieży komórkowej, z którą łączy się urządzenie. Pomocne jest, aby służby ratunkowe zlokalizowały Cię podczas kłopotów, ale nikt inny tak naprawdę nie potrzebuje tych informacji.
ACCESS_FINE_LOCATION
„Umożliwia aplikacji dostęp do dokładnej lokalizacji”.
Kiedy mówią precyzyjne, mają to na myśli. Uprawnienie do dokładnej lokalizacji użyje danych GPS i Wi(WiFi) -Fi , aby wskazać, gdzie jesteś. Dokładność może wynosić kilka stóp, prawdopodobnie określając, w którym pokoju się znajdujesz w swoim domu.
ACCESS_MEDIA_LOCATION
„Umożliwia aplikacji dostęp do dowolnych lokalizacji geograficznych utrwalonych we wspólnej kolekcji użytkownika”.
Jeśli nie wyłączyłeś geotagowania zdjęć i filmów(turned off geotagging on your pictures and videos) , ta aplikacja może przejrzeć je wszystkie i utworzyć dokładny profil miejsca, w którym się znajdujesz, na podstawie danych w plikach zdjęć(build an accurate profile of where you’ve been based on data in your photo files) .
AKTYWNOŚĆ_ROZPOZNAWANIE(ACTIVITY_RECOGNITION)
„Umożliwia aplikacji rozpoznawanie aktywności fizycznej”.
Samo w sobie może wydawać się niewiele. Jest często używany przez narzędzia do śledzenia aktywności, takie jak FitBit(activity trackers like FitBit) . Ale połącz je z innymi informacjami o lokalizacji, a oni będą mogli dowiedzieć się, co robisz i gdzie to robisz.
ADD_VOICEMAIL
„Pozwala aplikacji na dodawanie wiadomości głosowych do systemu”.
Może to zostać wykorzystane do celów phishingowych. Wyobraź sobie(Imagine) , że dodajesz pocztę głosową(voicemail) ze swojego banku z prośbą o telefon, ale podany numer nie należy do banku.
ANSWER_PHONE_CALLS
„Zezwala aplikacji na odbieranie przychodzących połączeń telefonicznych”.
Możesz zobaczyć, jaki może to być problem. Wyobraź sobie(Imagine) , że aplikacja po prostu odbiera Twoje telefony i robi z nimi, co tylko zechce.
BODY_SENSORS
„Umożliwia aplikacji dostęp do danych z czujników, których użytkownik używa do pomiaru tego, co dzieje się w jego ciele, na przykład tętna(sensors that the user uses to measure what is happening inside their body, such as heart rate) ”.
To kolejny przypadek, w którym same informacje mogą niewiele znaczyć, ale w połączeniu z informacjami z innych czujników mogą okazać się bardzo odkrywcze.
CALL_PHONE
„Umożliwia aplikacji inicjowanie połączenia telefonicznego bez przechodzenia przez interfejs użytkownika Dialera , aby użytkownik mógł potwierdzić połączenie”.(Dialer)
To wystarczająco przerażające, aby pomyśleć, że aplikacja może nawiązać połączenie telefoniczne bez Twojej wiedzy. Następnie pomyśl o tym, jak może zadzwonić pod numer 1-900 i możesz być na haczyku za setki lub tysiące dolarów.
KAMERA(CAMERA)
„Wymagane, aby móc uzyskać dostęp do urządzenia z kamerą”.
Wiele aplikacji będzie chciało korzystać z aparatu. Ma to sens w przypadku edycji zdjęć lub mediów społecznościowych. Ale jeśli prosta gra dla dzieci wymaga tego pozwolenia, to po prostu przerażające.
READ_CALENDAR
„Umożliwia aplikacji odczytywanie danych kalendarza(calendar data) użytkownika ”.
Aplikacja wiedziałaby, gdzie będziesz i kiedy. Jeśli robisz notatki przy swoich spotkaniach, będzie również wiedział, dlaczego tam jesteś. Dodaj do informacji o lokalizacji, a aplikacja będzie wiedziała, jak tam dotarłeś.
WRITE_CALENDAR
„Zezwala aplikacji na zapisywanie danych kalendarza użytkownika”.
Zły aktor może to wykorzystać, aby umieścić spotkania w twoim kalendarzu, co sprawi, że będziesz myślał, że będziesz musiał iść gdzieś, gdzie nie jesteś, lub zadzwonić do kogoś, kogo nie potrzebujesz.
READ_CALL_LOG
„Umożliwia aplikacji odczytywanie rejestru połączeń użytkownika”.
Z kim i kiedy rozmawiamy, może bardzo wiele powiedzieć o naszym życiu. Dzwonisz do współpracownika w ciągu dnia? Normalny(Normal) . Dzwonisz do nich o 2 w nocy w sobotni(Saturday) wieczór? Nie tak normalne.
WRITE_CALL_LOG
„Umożliwia aplikacji zapisywanie (ale nie odczytywanie) danych rejestru połączeń użytkownika”.
Jest to mało prawdopodobne, ale złośliwa aplikacja może dodać dzienniki połączeń, aby coś skonfigurować.
PRZECZYTAJ_KONTAKTY(READ_CONTACTS)
„Umożliwia aplikacji odczytywanie danych kontaktów użytkownika”.
Podobnie jak w przypadku czytania dziennika połączeń, lista kontaktów danej osoby(person’s contact list) wiele o niej mówi. Ponadto lista może służyć do wyłudzania informacji od znajomych, co sprawia, że myślą, że to ty do nich wysyłasz wiadomości. Może być również używany do rozwijania marketingowej listy e-mail, którą firma może następnie sprzedać reklamodawcom.
WRITE_CONTACTS
„Zezwala aplikacji na zapisywanie danych kontaktów użytkownika”.
Co by było, gdyby można było użyć tego do edycji lub nadpisania kontaktów? Wyobraź sobie(Imagine) , że zmienił numer Twojego brokera kredytów hipotecznych na inny, a Ty zadzwonisz do oszusta i przekażesz mu swoje informacje finansowe.
READ_EXTERNAL_STORAGE
„Zezwala aplikacji na odczyt z pamięci zewnętrznej”.
Każdy magazyn danych podłączany do urządzenia, taki jak karta microSD,(microSD card) a nawet laptop, może być dostępny, jeśli zezwolisz na to uprawnienie.
WRITE_EXTERNAL_STORAGE
„Zezwala aplikacji na zapisywanie w pamięci zewnętrznej”.
Jeśli przyznasz to uprawnienie, to uprawnienie READ_EXTERNAL_STORAGE również zostanie przyznane niejawnie. Teraz aplikacja może robić, co chce, z dowolnym podłączonym magazynem danych.
READ_PHONE_NUMBERS
„ Umożliwia(Allows) dostęp do odczytu numerów telefonów urządzenia. “
Jeśli aplikacja o to poprosi, a Ty to przyznasz, aplikacja zna teraz Twój numer telefonu. Spodziewaj się, że wkrótce otrzymasz robocalls(get some robocalls) , jeśli aplikacja jest pobieżna.
READ_PHONE_STATE
„ Umożliwia(Allows) dostęp tylko do odczytu do stanu telefonu, w tym aktualnych informacji o sieci komórkowej, stanu wszelkich trwających połączeń oraz listy wszystkich kont telefonicznych zarejestrowanych na urządzeniu”.
To uprawnienie może być wykorzystane do ułatwienia podsłuchiwania i śledzenia Cię przez sieć, w której się znajdujesz.
READ_SMS
„Zezwala aplikacji na odczytywanie wiadomości SMS ”.
Ponownie(Again) , kolejny sposób na podsłuchiwanie Ciebie i zbieranie danych osobowych. Tym razem czytając Twoje sms-y.
WYŚLIJ SMS(SEND_SMS)
„Zezwala aplikacji na wysyłanie wiadomości SMS(SMS messages) .”
Może to być wykorzystane do zarejestrowania Cię w płatnych usługach SMS-owych, takich jak otrzymywanie codziennego horoskopu. Może to szybko kosztować dużo pieniędzy.
ODBIERZ_MMS(RECEIVE_MMS)
„Zezwala aplikacji na monitorowanie przychodzących wiadomości MMS ”.
Aplikacja będzie mogła zobaczyć wszystkie zdjęcia lub filmy, które zostały do Ciebie wysłane.
ODBIERZ_SMS(RECEIVE_SMS)
„Zezwala aplikacji na odbieranie wiadomości SMS ”.
Ta aplikacja pozwoliłaby na monitorowanie wiadomości tekstowych.
RECEIVE_WAP_PUSH
„Umożliwia aplikacji odbieranie wiadomości WAP push”.
Wiadomość WAP Push to wiadomość będąca jednocześnie łączem internetowym. Wybranie wiadomości może spowodować otwarcie witryny internetowej zawierającej phishing lub złośliwe oprogramowanie.
NAGRAĆ DŹWIĘK(RECORD_AUDIO)
„Zezwala aplikacji na nagrywanie dźwięku”.
Jeszcze jeden sposób na podsłuchiwanie ludzi. Poza tym istnieje zaskakująca ilość rzeczy, których możesz się nauczyć z dźwięków wokół osoby, nawet jeśli nie mówi.
USE_SIP
„Zezwala aplikacji na korzystanie z usługi SIP ”.
Jeśli nie wiesz, co to jest sesja SIP, pomyśl o Skype lub Zoom(Skype or Zoom) . Są to komunikaty, które odbywają się za pośrednictwem połączenia VoIP . To tylko kolejny sposób, w jaki złośliwa aplikacja może Cię oglądać i słuchać.
Czy powinienem unikać wszystkich uprawnień Androida?(Should I Avoid All Android Permissions?)
Musimy spojrzeć na uprawnienia w kontekście tego, co chcemy, aby aplikacja dla nas zrobiła. Gdybyśmy mieli zablokować wszystkie te uprawnienia dla każdej aplikacji, żadna z naszych aplikacji nie działałaby.
Pomyśl(Think) o swoim urządzeniu z Androidem(Android) jak o domu. Dla naszej analogii wyobraź sobie aplikację jako mechanika wchodzącego do Twojego domu. Mają do wykonania określoną pracę i będą potrzebować dostępu do niektórych części domu, ale nie do innych.
Jeśli masz hydraulika, który naprawi zlew kuchenny, będzie potrzebować Twojej zgody, aby uzyskać dostęp do zlewu i rur, które dostarczają i odprowadzają wodę. Otóż to. Więc gdyby hydraulik poprosił o obejrzenie twojej sypialni, nabrałbyś podejrzeń co do tego, co robią. To samo dotyczy aplikacji. Pamiętaj o tym, zgadzając się na uprawnienia aplikacji.
Related posts
Jak wyświetlić historię pobierania aplikacji na iOS i Androida?
Aplikacja nie otwiera się na Androida? 10 sposobów na naprawę
Jak zabezpieczyć hasłem aplikację na urządzeniach z Androidem
Jak uruchomić wiele instancji aplikacji na Androidzie i Macu?
9 sposobów na naprawę „Nie znaleziono aplikacji do otwarcia adresu URL” w Androidzie
Jak dodawać widżety na Androida i iPhone'a
7 najlepszych aplikacji informacyjnych na Androida i iPhone'a
Przewodnik: Zainstaluj Ubuntu Touch na telefonie z Androidem
8 najlepszych aplikacji do selfie na Androida
Jak skonfigurować i używać funkcji Znajdź moje urządzenie na Androidzie
Jak wyłączyć Samsung Pay na Androidzie
7 najlepszych aplikacji krokomierza na Androida i iPhone'a
Jak naprawić wyskakującego wirusa Google Chrome na Androida
Instagram ciągle się zawiesza na iPhonie lub Androidzie? 8 poprawek do wypróbowania
Jak udostępnić ekran na Androidzie
7 najlepszych ochraniaczy ekranu na Androida i iPhone'a
5 najlepszych bezpiecznych aplikacji latarki na Androida
6 najlepszych aplikacji kompasu na Androida
6 najlepszych aplikacji do śledzenia celów na iPhone'a i Androida
Jak naprawić niedziałający przycisk Wstecz na iPhonie i Androidzie?