30 разрешений приложений, которых следует избегать на Android

Вы просто выбираете « Принять(Accept ) » все, что вам бросают, когда вы устанавливаете новое приложение на свое устройство Android(new app on your Android device) ? Большинство людей так и делают. Но на что ты соглашаешься? 

Есть Лицензионное соглашение с конечным пользователем(End User Licensing Agreement) ( EULA ), а затем есть разрешения для приложений. Некоторые из этих разрешений приложений могут позволить приложению и компании, которая его создала, зайти слишком далеко и нарушить вашу конфиденциальность. Вам нужно знать, с какими разрешениями приложений не следует соглашаться на Android .

Каких разрешений следует избегать? Это зависит, и мы углубимся в это дальше. Вы должны быть осторожны с разрешениями, связанными с доступом:

  • Телефон
  • Аудио
  • Место нахождения
  • Контакты
  • Камера
  • Календарь
  • Обмен сообщениями
  • Биометрия(Biometrics)
  • Облачное хранилище

Что такое разрешения приложений?(What Are App Permissions?)

Когда вы устанавливаете приложение, оно редко поставляется со всем, что ему нужно для выполнения своей работы, уже встроенным. В вашем Android уже есть много вещей, с которыми приложение должно интегрироваться, чтобы выполнять свою работу.

Допустим, вы загружаете приложение для редактирования фотографий(download a photo editing app) . Разработчик приложения не стал бы записывать полную фотогалерею или программное обеспечение камеры в само приложение. Они просто попросят доступ к этим вещам. Это позволяет приложениям быть небольшими и эффективными, а ваш Android не заполняется дублирующимся кодом приложения.

Каких разрешений для приложений следует избегать?(What App Permissions Should I Avoid?)

Для Android -разработчиков разрешения делятся на 2 группы: обычные и опасные.

Обычные разрешения считаются безопасными и часто разрешены по умолчанию без вашего явного разрешения. Опасные разрешения — это те, которые могут представлять угрозу вашей конфиденциальности. 

Мы рассмотрим 30 опасных разрешений, перечисленных в Справочнике разработчика Android( Android Developer’s Reference) от Google . Будет указано имя разрешения с цитатой из Справочника(Reference) разработчика о том, что разрешает разрешение. Затем мы кратко объясним, почему это может быть опасно. Это разрешения приложений, которых вы, возможно(may) , захотите избежать, если это возможно.

ACCEPT_HANDOVER

«Разрешает вызывающему приложению продолжить вызов, начатый в другом приложении».

Это разрешение позволяет переадресовывать вызов в приложение или службу, о которых вы, возможно, не знаете. Это может в конечном итоге стоить вам, если вы перейдете к службе, которая использует вашу квоту данных вместо вашего плана сотовой связи. Его также можно использовать для тайной записи разговоров.

ACCESS_BACKGROUND_LOCATION

«Разрешает приложению получать доступ к местоположению в фоновом режиме. Если вы запрашиваете это разрешение, вы также должны запросить ACCESS_COARSE_LOCATION или ACCESS_FINE_LOCATION . Запрос этого разрешения сам по себе не дает вам доступа к местоположению».

Как говорит Google , само по себе это разрешение не будет вас отслеживать. Но что он может сделать, так это позволить отслеживать(allow you to be tracked) вас, даже если вы думаете, что закрыли приложение, и оно больше не отслеживает ваше местоположение.

ACCESS_COARSE_LOCATION

«Разрешает приложению доступ к приблизительному местоположению».

Точность приблизительного определения местоположения находит вас в общей области на основе вышки сотовой связи, к которой подключается устройство. Экстренным службам полезно найти вас во время неприятностей, но никому больше эта информация не нужна.

ACCESS_FINE_LOCATION

«Разрешает приложению доступ к точному местоположению».

Когда они говорят точно, они имеют в виду это. Разрешение точного местоположения будет использовать данные GPS и WiFi , чтобы точно определить, где вы находитесь. Точность может быть в пределах нескольких футов, возможно, определить, в какой комнате вы находитесь в своем доме.

ACCESS_MEDIA_LOCATION

«Позволяет приложению получать доступ к любым географическим местоположениям, сохраненным в общей коллекции пользователя».

Если вы не отключили геотеги для своих фотографий и видео(turned off geotagging on your pictures and videos) , это приложение может просмотреть их все и создать точный профиль того, где вы были, на основе данных в ваших фотофайлах(build an accurate profile of where you’ve been based on data in your photo files) .

ACTIVITY_RECOGNITION

«Позволяет приложению распознавать физическую активность».

Само по себе это может показаться не таким уж большим. Его часто используют трекеры активности, такие как FitBit(activity trackers like FitBit) . Но соедините его с другой информацией о местоположении, и они смогут выяснить, что вы делаете и где вы это делаете.

ADD_VOICEMAIL

«Разрешает приложению добавлять голосовую почту в систему».

Это может быть использовано в целях фишинга. Представьте(Imagine) , что вы добавляете голосовое сообщение(voicemail) от вашего банка с просьбой позвонить, но указанный номер не принадлежит банку.

ОТВЕЧАТЬ НА ТЕЛЕФОННЫЕ ЗВОНКИ(ANSWER_PHONE_CALLS)

«Разрешить приложению отвечать на входящий телефонный звонок».

Вы можете видеть, как это может быть проблемой. Представьте(Imagine) себе приложение, которое просто отвечает на ваши телефонные звонки и делает с ними все, что захочет.

BODY_SENSORS

«Позволяет приложению получать доступ к данным датчиков, которые пользователь использует для измерения того, что происходит внутри его тела, например, частоты сердечных сокращений(sensors that the user uses to measure what is happening inside their body, such as heart rate) ».

Это еще один случай, когда информация сама по себе может не иметь большого значения, но в сочетании с информацией от других датчиков может оказаться очень показательной. 

ТЕЛЕФОННЫЙ ЗВОНОК(CALL_PHONE)

«Позволяет приложению инициировать телефонный звонок без использования пользовательского интерфейса номеронабирателя , чтобы пользователь мог подтвердить вызов».(Dialer)

Достаточно страшно подумать, что приложение может сделать телефонный звонок без вашего ведома. Затем подумайте о том, как он может позвонить по номеру 1-900, и вы можете получить сотни или тысячи долларов.

КАМЕРА(CAMERA)

«Необходимо иметь доступ к устройству камеры».

Многие приложения захотят использовать камеру. Это имеет смысл для таких вещей, как редактирование фотографий или социальные сети. Но если простая детская игра требует такого разрешения, это просто жутко.

READ_КАЛЕНДАРЬ(READ_CALENDAR)

«Разрешает приложению читать данные календаря(calendar data) пользователя» .

Приложение будет знать, где вы будете и когда. Если вы делаете заметки о встречах, он также будет знать, почему вы здесь. Добавьте к информации о местоположении, и приложение также будет знать, как вы туда попали.

WRITE_КАЛЕНДАРЬ(WRITE_CALENDAR)

«Разрешает приложению записывать данные календаря пользователя».

Плохой актер может использовать это, чтобы записать встречи в ваш календарь, заставляя вас думать, что вам, возможно, придется пойти куда-то, чего вы не делаете, или позвонить кому-то, кто вам не нужен.

READ_CALL_LOG

«Разрешает приложению читать журнал вызовов пользователя».

С кем и когда мы разговариваем, это может многое рассказать о нашей жизни. Звоните коллеге в течение дня? Нормальный(Normal) . Звонить им в 2 часа ночи в субботу(Saturday) ? Не так уж и нормально.

WRITE_CALL_LOG

«Разрешает приложению записывать (но не читать) данные журнала вызовов пользователя».

Этого маловероятно, но вредоносное приложение может добавить журналы вызовов, чтобы настроить вас на что-то. 

READ_CONTACTS

«Разрешает приложению читать данные контактов пользователя».

Подобно чтению журнала вызовов, список контактов человека(person’s contact list) многое говорит о нем. Кроме того, список может использоваться для фишинга ваших друзей, заставляя их думать, что это вы отправляете им сообщения. Его также можно использовать для расширения маркетингового списка адресов электронной почты, который компания может затем продать рекламодателям.

WRITE_CONTACTS

«Разрешает приложению записывать данные контактов пользователя».

Что, если бы это можно было использовать для редактирования или перезаписи ваших контактов? Представьте(Imagine) , что он изменил номер вашего ипотечного брокера на другой, и вы звоните какому-то мошеннику и сообщаете ему свою финансовую информацию.

READ_EXTERNAL_STORAGE

«Разрешает приложению читать из внешнего хранилища».

Любое хранилище данных, которое подключается к вашему устройству, например карта microSD(microSD card) или даже ноутбук, может быть доступно, если вы дадите это разрешение.

WRITE_EXTERNAL_STORAGE

«Разрешает приложению записывать во внешнее хранилище».

Если вы предоставляете это разрешение, то также неявно предоставляется разрешение READ_EXTERNAL_STORAGE . Теперь приложение может делать все, что захочет, с любым подключенным хранилищем данных.

READ_PHONE_NUMBERS

Разрешает(Allows) доступ для чтения к номеру(ам) телефона устройства. “

Если приложение запрашивает это и вы предоставляете его, приложение теперь знает ваш номер телефона. Ожидайте скоро получить несколько звонков(get some robocalls) от роботов , если приложение будет поверхностным.

READ_PHONE_STATE

« Разрешает(Allows) доступ только для чтения к состоянию телефона, включая текущую информацию о сотовой сети, статус любых текущих вызовов и список любых телефонных учетных записей, зарегистрированных на устройстве».

Это разрешение может быть использовано для облегчения подслушивания и отслеживания вас, в какой сети вы находитесь.

READ_SMS

«Разрешить приложению читать SMS - сообщения».

Опять же(Again) , еще один способ подслушать вас и собрать личную информацию. На этот раз, читая ваши текстовые сообщения.

ОТПРАВИТЬ СМС(SEND_SMS)

«Разрешить приложению отправлять SMS-сообщения(SMS messages) ».

Это может быть использовано для подписки на платные службы текстовых сообщений, например, на ежедневный гороскоп. Это может стоить вам много денег, и быстро.

ПОЛУЧИТЬ_MMS(RECEIVE_MMS)

«Разрешает приложению отслеживать входящие MMS - сообщения».

Приложение сможет видеть любые изображения или видео, которые были отправлены вам.

ПОЛУЧИТЬ_SMS(RECEIVE_SMS)

«Разрешить приложению получать SMS - сообщения».

Это приложение позволит отслеживать ваши текстовые сообщения.

RECEIVE_WAP_PUSH

«Разрешает приложению получать push-сообщения WAP ».

Push -сообщение WAP — это сообщение, которое также является веб-ссылкой. Выбор сообщения может открыть фишинговый или вредоносный веб-сайт.

ЗАПИСЬ АУДИО(RECORD_AUDIO)

«Разрешить приложению записывать звук».

Еще один способ подслушивать людей. Кроме того, вы можете многому научиться на звуках вокруг человека, даже если он не разговаривает.

USE_SIP

«Разрешает приложению использовать службу SIP ».

Если вы не знаете, что такое сеанс SIP, подумайте о Skype или Zoom(Skype or Zoom) . Это общение, которое происходит через соединение VoIP . Это еще один способ, которым вредоносное приложение может наблюдать и слушать вас.

Должен ли я избегать всех разрешений Android?(Should I Avoid All Android Permissions?)

Мы должны рассматривать разрешения в контексте того, что мы хотим, чтобы приложение делало для нас. Если бы мы заблокировали все эти разрешения для каждого приложения, ни одно из наших приложений не работало бы.

Думайте(Think) о своем Android - устройстве как о своем доме. Для нашей аналогии представьте приложение как ремонтника, пришедшего к вам домой. У них есть определенная работа, и им потребуется доступ к определенным частям вашего дома, но не к другим.

Если к вам приедет сантехник, чтобы починить кухонную раковину, ему потребуется ваше разрешение, чтобы получить доступ к раковине и трубам, по которым подается и отводится вода. Вот и все. Так что, если сантехник попросит показать вашу спальню, у вас возникнут подозрения в том, что они делают. То же самое касается приложений. Имейте это в виду, когда соглашаетесь с разрешениями приложения.



About the author

Я старший инженер-программист и разработчик изображений и приложений для iPhone с более чем 10-летним опытом. Мои навыки работы с аппаратным и программным обеспечением делают меня идеально подходящим для любого проекта корпоративного или потребительского смартфона. У меня есть глубокое понимание того, как создавать высококачественные изображения и способность работать со всеми различными форматами изображений. Кроме того, я знаком с разработкой для Firefox и iOS.



Related posts