Czy po prostu wybierasz Akceptuj^{(Accept )} do wszystkiego, co rzuca się na Ciebie, gdy instalujesz nową aplikację na swoim urządzeniu z Androidem^{(new app on your Android device)} ? Większość ludzi to robi. Ale na co się zgadzasz? 

Istnieje umowa licencyjna użytkownika^{(End User Licensing Agreement)} końcowego ( EULA ), a także uprawnienia aplikacji. Niektóre z tych uprawnień aplikacji mogą pozwolić aplikacji i firmie, która ją stworzyła, posunąć się za daleko i naruszyć Twoją prywatność. Musisz wiedzieć, na jakie uprawnienia aplikacji nie chcesz wyrażać zgody na swoim urządzeniu z Androidem^(Android) .

Jakich uprawnień powinieneś unikać? To zależy i zajmiemy się tym dalej. Powinieneś uważać na uprawnienia związane z dostępem:

• Telefon
• Audio
• Lokalizacja
• Łączność
• Kamera
• Kalendarz
• Wiadomości
• Biometria^(Biometrics)
• Magazyn w chmurze

Jakie są uprawnienia aplikacji?^{(What Are App Permissions?)}

Kiedy instalujesz aplikację, rzadko kiedy zawiera ona wszystko, co jest potrzebne do wykonywania swojej pracy, jest już wbudowane. W systemie Android jest już wiele rzeczy, z którymi aplikacja musi się zintegrować, aby wykonać swoją pracę.

Załóżmy, że pobierasz aplikację do edycji zdjęć^{(download a photo editing app)} . Twórca aplikacji nie zapisałby pełnej galerii zdjęć ani oprogramowania aparatu do samej aplikacji. Po prostu poproszą o dostęp do tych rzeczy. Dzięki temu aplikacje są małe i wydajne, a Twój Android nie wypełnia się zduplikowanym kodem aplikacji.

Jakich uprawnień aplikacji powinienem unikać?^{(What App Permissions Should I Avoid?)}

Dla programistów Androida^(Android) uprawnienia są podzielone na 2 grupy: normalne i niebezpieczne.

Normalne uprawnienia są uważane za bezpieczne i często są domyślnie dozwolone bez Twojej wyraźnej zgody. Niebezpieczne uprawnienia to takie, które mogą stanowić zagrożenie dla Twojej prywatności. 

Przyjrzymy się 30 niebezpiecznym uprawnieniom wymienionym w materiałach referencyjnych Google dla programistów aplikacji na Androida^{( Android Developer’s Reference)} . Zostanie wyświetlona nazwa zezwolenia wraz z cytatem z Dokumentacji^(Reference) programisty o tym, na co zezwolenie zezwala. Następnie krótko wyjaśnimy, dlaczego może to być niebezpieczne. Są to uprawnienia aplikacji, których możesz^(may) chcieć uniknąć, jeśli to możliwe

AKCEPTUJ_PRZEKAZANIE^{(ACCEPT_HANDOVER)}

„Zezwala aplikacji do wykonywania połączeń na kontynuowanie połączenia rozpoczętego w innej aplikacji”.

To uprawnienie umożliwia przekazanie połączenia do aplikacji lub usługi, o której możesz nie wiedzieć. Może to kosztować Cię, jeśli przeniesie Cię do usługi, która wykorzystuje Twój limit danych zamiast abonamentu komórkowego. Może być również używany do potajemnego nagrywania rozmów.

ACCESS_BACKGROUND_LOCATION

„Umożliwia aplikacji dostęp do lokalizacji w tle. Jeśli prosisz o to pozwolenie, musisz również poprosić o ACCESS_COARSE_LOCATION lub ACCESS_FINE_LOCATION . Samo żądanie tego pozwolenia nie daje dostępu do lokalizacji”.

Jak mówi Google , samo to uprawnienie nie będzie Cię śledzić. Ale może pozwolić Ci być śledzonym^{(allow you to be tracked)} , nawet jeśli uważasz, że zamknąłeś aplikację i nie śledzi już Twojej lokalizacji.

ACCESS_COARSE_LOCATION

„Umożliwia aplikacji dostęp do przybliżonej lokalizacji”.

Dokładność przybliżonej lokalizacji lokalizuje Cię w ogólnym obszarze na podstawie wieży komórkowej, z którą łączy się urządzenie. Pomocne jest, aby służby ratunkowe zlokalizowały Cię podczas kłopotów, ale nikt inny tak naprawdę nie potrzebuje tych informacji.

ACCESS_FINE_LOCATION

„Umożliwia aplikacji dostęp do dokładnej lokalizacji”.

Kiedy mówią precyzyjne, mają to na myśli. Uprawnienie do dokładnej lokalizacji użyje danych GPS i Wi^(WiFi) -Fi , aby wskazać, gdzie jesteś. Dokładność może wynosić kilka stóp, prawdopodobnie określając, w którym pokoju się znajdujesz w swoim domu.

ACCESS_MEDIA_LOCATION

„Umożliwia aplikacji dostęp do dowolnych lokalizacji geograficznych utrwalonych we wspólnej kolekcji użytkownika”.

Jeśli nie wyłączyłeś geotagowania zdjęć i filmów^{(turned off geotagging on your pictures and videos)} , ta aplikacja może przejrzeć je wszystkie i utworzyć dokładny profil miejsca, w którym się znajdujesz, na podstawie danych w plikach zdjęć^{(build an accurate profile of where you’ve been based on data in your photo files)} .

AKTYWNOŚĆ_ROZPOZNAWANIE^{(ACTIVITY_RECOGNITION)}

„Umożliwia aplikacji rozpoznawanie aktywności fizycznej”.

Samo w sobie może wydawać się niewiele. Jest często używany przez narzędzia do śledzenia aktywności, takie jak FitBit^{(activity trackers like FitBit)} . Ale połącz je z innymi informacjami o lokalizacji, a oni będą mogli dowiedzieć się, co robisz i gdzie to robisz.

ADD_VOICEMAIL

„Pozwala aplikacji na dodawanie wiadomości głosowych do systemu”.

Może to zostać wykorzystane do celów phishingowych. Wyobraź sobie^(Imagine) , że dodajesz pocztę głosową^(voicemail) ze swojego banku z prośbą o telefon, ale podany numer nie należy do banku.

ANSWER_PHONE_CALLS

„Zezwala aplikacji na odbieranie przychodzących połączeń telefonicznych”.

Możesz zobaczyć, jaki może to być problem. Wyobraź sobie^(Imagine) , że aplikacja po prostu odbiera Twoje telefony i robi z nimi, co tylko zechce.

BODY_SENSORS

„Umożliwia aplikacji dostęp do danych z czujników, których użytkownik używa do pomiaru tego, co dzieje się w jego ciele, na przykład tętna^{(sensors that the user uses to measure what is happening inside their body, such as heart rate)} ”.

To kolejny przypadek, w którym same informacje mogą niewiele znaczyć, ale w połączeniu z informacjami z innych czujników mogą okazać się bardzo odkrywcze. 

CALL_PHONE

„Umożliwia aplikacji inicjowanie połączenia telefonicznego bez przechodzenia przez interfejs użytkownika Dialera , aby użytkownik mógł potwierdzić połączenie”.^(Dialer)

To wystarczająco przerażające, aby pomyśleć, że aplikacja może nawiązać połączenie telefoniczne bez Twojej wiedzy. Następnie pomyśl o tym, jak może zadzwonić pod numer 1-900 i możesz być na haczyku za setki lub tysiące dolarów.

KAMERA^(CAMERA)

„Wymagane, aby móc uzyskać dostęp do urządzenia z kamerą”.

Wiele aplikacji będzie chciało korzystać z aparatu. Ma to sens w przypadku edycji zdjęć lub mediów społecznościowych. Ale jeśli prosta gra dla dzieci wymaga tego pozwolenia, to po prostu przerażające.

READ_CALENDAR

„Umożliwia aplikacji odczytywanie danych kalendarza^{(calendar data)} użytkownika ”.

Aplikacja wiedziałaby, gdzie będziesz i kiedy. Jeśli robisz notatki przy swoich spotkaniach, będzie również wiedział, dlaczego tam jesteś. Dodaj do informacji o lokalizacji, a aplikacja będzie wiedziała, jak tam dotarłeś.

WRITE_CALENDAR

„Zezwala aplikacji na zapisywanie danych kalendarza użytkownika”.

Zły aktor może to wykorzystać, aby umieścić spotkania w twoim kalendarzu, co sprawi, że będziesz myślał, że będziesz musiał iść gdzieś, gdzie nie jesteś, lub zadzwonić do kogoś, kogo nie potrzebujesz.

READ_CALL_LOG

„Umożliwia aplikacji odczytywanie rejestru połączeń użytkownika”.

Z kim i kiedy rozmawiamy, może bardzo wiele powiedzieć o naszym życiu. Dzwonisz do współpracownika w ciągu dnia? Normalny^(Normal) . Dzwonisz do nich o 2 w nocy w sobotni^(Saturday) wieczór? Nie tak normalne.

WRITE_CALL_LOG

„Umożliwia aplikacji zapisywanie (ale nie odczytywanie) danych rejestru połączeń użytkownika”.

Jest to mało prawdopodobne, ale złośliwa aplikacja może dodać dzienniki połączeń, aby coś skonfigurować. 

PRZECZYTAJ_KONTAKTY^{(READ_CONTACTS)}

„Umożliwia aplikacji odczytywanie danych kontaktów użytkownika”.

Podobnie jak w przypadku czytania dziennika połączeń, lista kontaktów danej osoby^{(person’s contact list)} wiele o niej mówi. Ponadto lista może służyć do wyłudzania informacji od znajomych, co sprawia, że ​​myślą, że to ty do nich wysyłasz wiadomości. Może być również używany do rozwijania marketingowej listy e-mail, którą firma może następnie sprzedać reklamodawcom.

WRITE_CONTACTS

„Zezwala aplikacji na zapisywanie danych kontaktów użytkownika”.

Co by było, gdyby można było użyć tego do edycji lub nadpisania kontaktów? Wyobraź sobie^(Imagine) , że zmienił numer Twojego brokera kredytów hipotecznych na inny, a Ty zadzwonisz do oszusta i przekażesz mu swoje informacje finansowe.

READ_EXTERNAL_STORAGE

„Zezwala aplikacji na odczyt z pamięci zewnętrznej”.

Każdy magazyn danych podłączany do urządzenia, taki jak karta microSD,^{(microSD card)} a nawet laptop, może być dostępny, jeśli zezwolisz na to uprawnienie.

WRITE_EXTERNAL_STORAGE

„Zezwala aplikacji na zapisywanie w pamięci zewnętrznej”.

Jeśli przyznasz to uprawnienie, to uprawnienie READ_EXTERNAL_STORAGE również zostanie przyznane niejawnie. Teraz aplikacja może robić, co chce, z dowolnym podłączonym magazynem danych.

READ_PHONE_NUMBERS

„ Umożliwia^(Allows) dostęp do odczytu numerów telefonów urządzenia. “

Jeśli aplikacja o to poprosi, a Ty to przyznasz, aplikacja zna teraz Twój numer telefonu. Spodziewaj się, że wkrótce otrzymasz robocalls^{(get some robocalls)} , jeśli aplikacja jest pobieżna.

READ_PHONE_STATE

„ Umożliwia^(Allows) dostęp tylko do odczytu do stanu telefonu, w tym aktualnych informacji o sieci komórkowej, stanu wszelkich trwających połączeń oraz listy wszystkich kont telefonicznych zarejestrowanych na urządzeniu”.

To uprawnienie może być wykorzystane do ułatwienia podsłuchiwania i śledzenia Cię przez sieć, w której się znajdujesz.

READ_SMS

„Zezwala aplikacji na odczytywanie wiadomości SMS ”.

Ponownie^(Again) , kolejny sposób na podsłuchiwanie Ciebie i zbieranie danych osobowych. Tym razem czytając Twoje sms-y.

WYŚLIJ SMS^(SEND_SMS)

„Zezwala aplikacji na wysyłanie wiadomości SMS^{(SMS messages)} .”

Może to być wykorzystane do zarejestrowania Cię w płatnych usługach SMS-owych, takich jak otrzymywanie codziennego horoskopu. Może to szybko kosztować dużo pieniędzy.

ODBIERZ_MMS^{(RECEIVE_MMS)}

„Zezwala aplikacji na monitorowanie przychodzących wiadomości MMS ”.

Aplikacja będzie mogła zobaczyć wszystkie zdjęcia lub filmy, które zostały do ​​Ciebie wysłane.

ODBIERZ_SMS^{(RECEIVE_SMS)}

„Zezwala aplikacji na odbieranie wiadomości SMS ”.

Ta aplikacja pozwoliłaby na monitorowanie wiadomości tekstowych.

RECEIVE_WAP_PUSH

„Umożliwia aplikacji odbieranie wiadomości WAP push”.

Wiadomość WAP Push to wiadomość będąca jednocześnie łączem internetowym. Wybranie wiadomości może spowodować otwarcie witryny internetowej zawierającej phishing lub złośliwe oprogramowanie.

NAGRAĆ DŹWIĘK^{(RECORD_AUDIO)}

„Zezwala aplikacji na nagrywanie dźwięku”.

Jeszcze jeden sposób na podsłuchiwanie ludzi. Poza tym istnieje zaskakująca ilość rzeczy, których możesz się nauczyć z dźwięków wokół osoby, nawet jeśli nie mówi.

USE_SIP

„Zezwala aplikacji na korzystanie z usługi SIP ”.

Jeśli nie wiesz, co to jest sesja SIP, pomyśl o Skype lub Zoom^{(Skype or Zoom)} . Są to komunikaty, które odbywają się za pośrednictwem połączenia VoIP . To tylko kolejny sposób, w jaki złośliwa aplikacja może Cię oglądać i słuchać.

Czy powinienem unikać wszystkich uprawnień Androida?^{(Should I Avoid All Android Permissions?)}

Musimy spojrzeć na uprawnienia w kontekście tego, co chcemy, aby aplikacja dla nas zrobiła. Gdybyśmy mieli zablokować wszystkie te uprawnienia dla każdej aplikacji, żadna z naszych aplikacji nie działałaby.

Pomyśl^(Think) o swoim urządzeniu z Androidem^(Android) jak o domu. Dla naszej analogii wyobraź sobie aplikację jako mechanika wchodzącego do Twojego domu. Mają do wykonania określoną pracę i będą potrzebować dostępu do niektórych części domu, ale nie do innych.

Jeśli masz hydraulika, który naprawi zlew kuchenny, będzie potrzebować Twojej zgody, aby uzyskać dostęp do zlewu i rur, które dostarczają i odprowadzają wodę. Otóż ​​to. Więc gdyby hydraulik poprosił o obejrzenie twojej sypialni, nabrałbyś podejrzeń co do tego, co robią. To samo dotyczy aplikacji. Pamiętaj o tym, zgadzając się na uprawnienia aplikacji.

30 App Permissions To Avoid On Android

Do you јust select Accept to everything thrown at you when you install a new app on your Android device? Most people do. But what are you agreeing to? 

There’s the End User Licensing Agreement (EULA) and then there are the app permissions. Some of those app permissions can allow an app, and the company that made it, to go too far and violate your privacy. You need to know what app permissions to avoid agreeing to on your Android.

What permissions should you avoid? It depends, and we’ll go into that further. You’ll want to be wary of permissions related to accessing:

• Phone
• Audio
• Location
• Contacts
• Camera
• Calendar
• Messaging
• Biometrics
• Cloud Storage

What Are App Permissions?

When you install an app, the app seldom comes with everything it needs to do its job already built-in. There are a lot of things already in your Android that the app needs to integrate with to get its job done.

Let’s say you download a photo editing app. The app developer wouldn’t write in a complete photo gallery or camera software into the app itself. They’re just going to ask for access to those things. This keeps the apps small and efficient and your Android from filling up with duplicated app code.

What App Permissions Should I Avoid?

For Android developers, permissions are divided into 2 groups: normal and dangerous.

Normal permissions are considered safe and often allowed by default without your express permission. Dangerous permissions are ones that may present a risk to your privacy. 

We’ll look at the 30 dangerous permissions listed in the Android Developer’s Reference from Google. The name of the permission will be listed, with a quote from the Developer’s Reference about what the permission allows. Then we’ll briefly explain why it could be dangerous. These are app permissions you may want to avoid, if possible

ACCEPT_HANDOVER

“Allows a calling app to continue a call which was started in another app.”

This permission allows for a call to be transferred to an app or service you might not be aware of. This could end up costing you if it transfers you to a service that’s using your data quota instead of your cell plan. It could also be used to secretly record conversations.

ACCESS_BACKGROUND_LOCATION

“Allows an app to access location in the background. If you’re requesting this permission, you must also request either ACCESS_COARSE_LOCATION or ACCESS_FINE_LOCATION. Requesting this permission by itself doesn’t give you location access.”

Like Google says, this permission alone won’t track you. But what it can do is allow you to be tracked even if you think you’ve closed the app and it’s no longer tracking your location.

ACCESS_COARSE_LOCATION

“Allows an app to access approximate location.”

The accuracy of coarse location locates you to a general area, based upon the cell tower to which the device is connecting. It’s helpful for emergency services to locate you during trouble, but no one else really needs that information.

ACCESS_FINE_LOCATION

“Allows an app to access precise location.”

When they say precise, they mean it. The fine location permission will use GPS and WiFi data to pinpoint where you are. The accuracy could be within a few feet, possibly locating which room you’re in within your home.

ACCESS_MEDIA_LOCATION

“Allows an application to access any geographic locations persisted in the user’s shared collection.”

Unless you’ve turned off geotagging on your pictures and videos, this app can go through all of them and build an accurate profile of where you’ve been based on data in your photo files.

ACTIVITY_RECOGNITION

“Allows an application to recognize physical activity.”

On its own, it might not seem like much. It’s often used by activity trackers like FitBit. But put it together with other location information and they can figure out what you’re doing and where you’re doing it.

ADD_VOICEMAIL

“Allows an application to add voicemails into the system.”

This could be used for phishing purposes. Imagine adding a voicemail from your bank asking to give them a call, but the number provided isn’t the bank’s.

ANSWER_PHONE_CALLS

“Allows the app to answer an incoming phone call.”

You can see how this could be a problem. Imagine an app just answering your phone calls and doing whatever it likes with them.

BODY_SENSORS

“Allows an application to access data from sensors that the user uses to measure what is happening inside their body, such as heart rate.”

This is another one where the information on its own might not mean much, but when coupled with information from other sensors could prove very revealing. 

CALL_PHONE

“Allows an application to initiate a phone call without going through the Dialer user interface for the user to confirm the call.”

It’s scary enough to think an app could make a phone call without you knowing it. Then think about how it might call a 1-900 number and you could be on the hook for hundreds or thousands of dollars.

CAMERA

“Required to be able to access the camera device.”

A lot of apps will want to use the camera. It makes sense for things like photo editing or social media. But if a simple kids game wants this permission, that’s just creepy.

READ_CALENDAR

“Allows an application to read the user’s calendar data.”

The app would know where you’ll be and when. If you make notes with your appointments, it’ll also know why you’re there. Add to the location information and the app will know how you got there too.

WRITE_CALENDAR

“Allows an application to write the user’s calendar data.”

A bad actor might use this to put appointments in your calendar making you think you might have to go somewhere you don’t, or call someone you don’t need to.

READ_CALL_LOG

“Allows an application to read the user’s call log.”

Who we talk to and when can be very revealing about our lives. Calling your co-worker during the day? Normal. Calling them at 2 a.m. on Saturday night? Not so normal.

WRITE_CALL_LOG

“Allows an application to write (but not read) the user’s call log data.”

It’s not likely to happen, but a malicious app could add call logs to set you up for something. 

READ_CONTACTS

“Allows an application to read the user’s contacts data.”

Similar to reading the call log, a person’s contact list says a lot about them. Plus, the list may be used to phish your friends, making them think it’s you messaging them. It can also be used to grow a marketing email list the company could then sell off to advertisers.

WRITE_CONTACTS

“Allows an application to write the user’s contacts data.”

What if this could be used to edit or overwrite your contacts? Imagine if it changed the number for your mortgage broker to another number and you call some scammer and give them your financial information.

READ_EXTERNAL_STORAGE

“Allows an application to read from external storage.”

Any data storage that plugs into your device, like a microSD card or even a laptop, could be accessed if you allow this permission.

WRITE_EXTERNAL_STORAGE

“Allows an application to write to external storage.”

If you grant this permission, then the READ_EXTERNAL_STORAGE permission is implicitly granted as well. Now the app can do what it wants with any connected data storage.

READ_PHONE_NUMBERS

“Allows read access to the device’s phone number(s). “

If an app asks for this and you grant it, the app now knows your phone number. Expect to get some robocalls soon if the app is sketchy.

READ_PHONE_STATE

“Allows read only access to phone state, including the current cellular network information, the status of any ongoing calls, and a list of any phone accounts registered on the device.”

This permission could be used to facilitate eavesdropping and tracking you by which network you’re on.

READ_SMS

“Allows an application to read SMS messages.”

Again, another way to eavesdrop on you and gather personal information. This time by reading your text messages.

SEND_SMS

“Allows an application to send SMS messages.”

This could be used to sign you up for paid texting services, like getting your daily horoscope. This could cost you a lot of money, quickly.

RECEIVE_MMS

“Allows an application to monitor incoming MMS messages.”

The app would be able to see any pictures or videos that were sent to you.

RECEIVE_SMS

“Allows an application to receive SMS messages.”

This app would allow for monitoring your text messages.

RECEIVE_WAP_PUSH

“Allows an application to receive WAP push messages.”

A WAP push message is a message that is also a web link. Selecting the message could open a phishing or malware laden web site.

RECORD_AUDIO

“Allows an application to record audio.”

Yet another way to eavesdrop on people. Plus there’s a surprising amount you can learn from the sounds around a person, even if they’re not talking.

USE_SIP

“Allows an application to use SIP service.”

If you don’t know what a SIP session is, think of Skype or Zoom. Those are communications that happen over a VoIP connection. This is just one more way that a malicious app could watch and listen to you.

Should I Avoid All Android Permissions?

We must look at permissions in the context of what we want the app to do for us. If we were to block all those permissions for every app, none of our apps would work.

Think of your Android device as your home. For our analogy, think of the app as a repairman coming into your home. They have a specific job to do and will need access to certain parts of your home, but not others.

If you’ve got a plumber coming in to fix the kitchen sink, they’re going to need your permission to access the sink and the pipes that supply and remove water. That’s it. So if the plumber asked to see your bedroom, you’d become suspicious of what they’re doing. The same goes for apps. Keep that in mind when you agree to app permissions.

Related posts

• Jak wyświetlić historię pobierania aplikacji na iOS i Androida?

• Aplikacja nie otwiera się na Androida? 10 sposobów na naprawę

• Jak zabezpieczyć hasłem aplikację na urządzeniach z Androidem

• Jak uruchomić wiele instancji aplikacji na Androidzie i Macu?

• 9 sposobów na naprawę „Nie znaleziono aplikacji do otwarcia adresu URL” w Androidzie

• Jak dodawać widżety na Androida i iPhone'a

• 7 najlepszych aplikacji informacyjnych na Androida i iPhone'a

• Przewodnik: Zainstaluj Ubuntu Touch na telefonie z Androidem

• 8 najlepszych aplikacji do selfie na Androida

• Jak skonfigurować i używać funkcji Znajdź moje urządzenie na Androidzie

• Jak wyłączyć Samsung Pay na Androidzie

• 7 najlepszych aplikacji krokomierza na Androida i iPhone'a

• Jak naprawić wyskakującego wirusa Google Chrome na Androida

• Instagram ciągle się zawiesza na iPhonie lub Androidzie? 8 poprawek do wypróbowania

• Jak udostępnić ekran na Androidzie

• 7 najlepszych ochraniaczy ekranu na Androida i iPhone'a

• 5 najlepszych bezpiecznych aplikacji latarki na Androida

• 6 najlepszych aplikacji kompasu na Androida

• 6 najlepszych aplikacji do śledzenia celów na iPhone'a i Androida

• Jak naprawić niedziałający przycisk Wstecz na iPhonie i Androidzie?