Czy istnieje lista wyjaśniająca ryzyko związane z każdym rodzajem przyznanego pozwolenia na aplikację?

13

Zwykle zainstalowana aplikacja na Androida będzie żądać uprawnień takich jak

Phone calls
   read phone state and identity

lub

System tools 
   prevent phone from sleeping

Ale rzeczywiste konsekwencje z punktu widzenia prywatności często są dla mnie tajemnicą. Czy istnieje zasób, który bardziej szczegółowo wyjaśnia ryzyko związane z tymi uprawnieniami? Szczególnie w zakresie prywatności i bezpieczeństwa danych osobowych.

(Plusy to na przykład z praktycznymi przykładami, analizami, pułapkami, dostarczaniem kompletnych list.)

n611x007
źródło
2
Dla każdego, kto zastanawia się nad ideą stojącą za tym pytaniem, dobra lektura brzmi: czy Twoja aplikacja latarki wie, gdzie jesteś? Sondowanie uprawnień Androida , artykuł o TechRepublic. Ciekawa lektura dla wszystkich, którzy nie dbali tak bardzo o te „głupie” wyskakujące okienka w instalacjach aplikacji. Cytat: 95% użytkowników było zaskoczonych, że aplikacja wysłała unikalny identyfikator swojego telefonu do dostawców reklam mobilnych , podobnie jak ich lokalizacja ...
Izzy
1
PS: Właśnie zaktualizowałem swoją odpowiedź o inne źródło. Zebrałem informacje z całej sieci (gdziekolwiek mogłem znaleźć elementy) i opracowałem listę uprawnień, co one oznaczają i jakie mogą mieć konsekwencje .
Izzy
@Izzy dziękuję Izzy, co za świetna robota! Gratulacje!
n611x007
Cieszę się, że ci się podoba, naxa! Staram się ciągle aktualizować je o nowe informacje, gdy tylko je otrzymam (tak było kilka dni temu). Ciesz się i rozpowszechniaj wieści :)
Izzy

Odpowiedzi:

16

Informacje ogólne

Możesz rzucić okiem na Co oznaczają uprawnienia wymagane przez aplikacje? - nasza „społeczność wiki”, która, mam nadzieję, stanie się kiedyś źródłem takich zasobów. Oprócz tego możesz rzucić okiem na wyjaśnienia dotyczące uprawnień aplikacji - co one naprawdę oznaczają? , artykuł na blogu w AndroidPIT zawierający przynajmniej krótkie wyjaśnienia.

Artykuł TechPP Korzystanie z uprawnień do zabezpieczania prywatnych danych z aplikacji na Androida zawiera nieco więcej szczegółów (zalecane czytanie!). Kolejny miły przegląd zapewnia BinaryDroids .

Edycja: Próbowałem podsumować informacje z wszelkiego rodzaju źródeł, jakie mogłem znaleźć, więc prawdopodobnie najbardziej obszerną kolekcję można znaleźć na Android.IzzySoft.DE: Uprawnienia . Nie bój się „.DE”: służy on również w języku angielskim. (Ujawnienie: Jestem właścicielem, twórcą i opiekunem tej witryny).

Ostatnia bezpośrednia rekomendacja to: Jak działają uprawnienia aplikacji i dlaczego warto się tym przejmować - a więcej, odwiedź naszą starą dobrą ciotkę Google :)


Edycja: Nie mogłem się powstrzymać przed dodaniem cenniejszych wskazówek, ponieważ jest to bardzo delikatny temat. Będę więc kontynuować aktualizację mojej odpowiedzi:


Reklama w aplikacjach

Należy również pamiętać, że wiele uprawnień może wymagać niektórych żądań aplikacji od samej aplikacji - a raczej od modułu reklam używanego przez aplikację. Więc według TechRepublic 14 , MobFox i AdMob, dwóch największych sieci reklamowych, wymagają następujące uprawnienia: INTERNET, ACCESS_NETWORK_STATE, ACCESS_COARSE_LOCATION, i READ_PHONE_STATE(tak oni mogą wiedzieć, kto jesteś [ READ_PHONE_STATE: numer telefonu, IMEI / IMSI], gdzie około jesteś [ ACCESS_COARSE_LOCATION] , z jakimi sieciami jesteś połączony [ ACCESS_NETWORK_STATE] i z kim się komunikujesz [ponownie READ_PHONE_STATEw trakcie połączenia dla „numeru zdalnego”]). Czy to wygląda trochę zbyt paranoicznie? To nie znaczy, że nikt cię nie ściga, zobacz Deep Dive Into Ad Behavior na Androida .

Co oznacza: jeśli nie czujesz się dobrze z niektórymi kombinacjami, możesz po prostu sprawdzić, czy aplikacja na twojej liście życzeń ma również wersję płatną - co może obejść się bez tych uprawnień, ponieważ nie zawiera „modułu reklam”. Mówiąc o tym: Addons Detector pomoże Ci dowiedzieć się, które z Twoich aplikacji zawierają taki moduł na barana. W tym kontekście należy również rozważyć: tak wiarygodny, jak może być twórca aplikacji, może on nie być świadomy i nie mieć wpływu na to, co te „moduły reklamowe” robią z Twoimi danymi. Pamiętaj: sieci reklamowe mają takie same uprawnienia dla systemu Android jak zainstalowana aplikacja, z którą są powiązane. 13

Na ten temat przeczytaj także:


Czy to dla ciebie szokująca wiadomość? Czy zaraziłem cię jakąś „paranoją” - a teraz upadłeś „sam” ze swoimi złymi uczuciami? Nie zostawię cię bez rekomendacji. Po pierwsze, możesz chcieć wiedzieć, którzy potencjalni „złodzieje danych” zaprosiłeś już na swoje urządzenie, nieświadomy tego ryzyka. Zwykle nie jest to zła intencja dewelopera (wiesz: „Bez pieniędzy, bez miodu” - twórcy też muszą zarabiać na życie). Po zidentyfikowaniu niektórych „złych facetów”, możesz chcieć skonfrontować się z deweloperem i dać mu możliwość zmiany na innego, mniej „niebezpiecznego” dostawcę reklam (w końcu deweloper mógł nie wiedzieć o ryzyku) . Jeśli nie chce, możesz nadal zdecydować, czy wykopać przestępcę z twojego urządzenia. Lub „przejść pro”, jeśli istnieje

Więc: jakie masz opcje? Podam kilka przykładów poniżej.

  • Addons Detector zna wiele z tych modułów. Wysoko oceniany (4,7 gwiazdek przy ponad 3000 ocen), nie tylko wykrywa moduły reklamowe, ale także moduły analityczne, programistyczne i licencyjne
  • Lookout Ad Network Detector - nomen est omen - koncentruje się na modułach reklamowych. Jego dodatkową wartością jest możliwość dokładnego powiedzenia , jakie dane są gromadzone i przez kogo. Porównywalna ocena (4,4 przy> 3000 ocen)
  • TrustGo Ad Detector oferuje porównywalne funkcje, a także zapewnia szczegółowe informacje na temat zachowania sieci reklamowych i tła. Obecnie 4,5 przy ~ 2000 ocen.

„Użytkownicy root” mogli również słyszeć o kilku aplikacjach blokujących reklamy (np. Adaway , Adblock Plus - ten ostatni nawet nie wymaga rootowania ), niektóre z nich mogą nie tylko „blokować według hosta / adresu IP”, ale bezpośrednio dezaktywować moduły reklamowe. Cóż, nie są one już dostępne w sklepie, ponieważ Google ich zbanował. Ale na pewno znajdziesz je w innych miejscach w sieci. Pamiętaj, aby wybrać godne zaufania źródło, jeśli planujesz z nich skorzystać. Polecam F-Droid , który ma własną „aplikację rynkową” o tej samej nazwie, więc otrzymujesz również aktualizacje. Wszystkie aplikacje są otwarte, a zatem bezpłatne. I nie, oczywiście nie ma „hackowanych wersji pro za darmo”, wszystkie w pełni legalne i zgodne z prawem :)

Izzy
źródło
-1

staram się wyjaśnić ..

zainstalowałeś inny program, który musi zsynchronizować funkcję .. na przykład jest twoja książka telefoniczna .. musisz automatycznie uzyskać informacje z książki telefonicznej .. numer telefonu i nazwisko, z którym się kontaktowałeś ..

mam nadzieję, że zrozumiesz pierwsze wyjaśnienie.

dla narzędzia systemowego aplikacja potrzebuje linii internetowej .. przykład jest facebookiem. gdy telefon przejdzie w tryb uśpienia .. odetnie linię internetową w celu oszczędzania energii baterii .. nie będziesz przeszkadzać, gdy telefon będzie tryb uśpienia, kiedy spałeś ...

prostym słowem jest to, że telefon będzie działał tylko z oryginalnym ustawieniem .. u może odbierać normalne sms i połączenia telefoniczne przy użyciu linii dostawcy .. ale nie linia internetowa ..

mam nadzieję, że możesz uzyskać więcej informacji przez google .. staram się uzyskać proste n proste słowo tutaj ..

dzięki.

armz
źródło
OP jest zainteresowany rzeczywistymi konsekwencjami z punktu widzenia prywatności . Podstawy tego, do czego można wykorzystać te uprawnienia w pozytywnym sensie (np. Dostęp do kalendarza w celu umieszczenia rozkładu jazdy pociągów z aplikacji do planowania podróży) są jasne dla takiej „podstawowej rzeczy”. Bardziej interesujące są rzeczy, które PHONE_STATEmożna wykorzystać nie tylko do sprawdzenia, czy trwa połączenie, ale również złośliwie można użyć do wybrania obu zaangażowanych numerów, a także numeru IMEI / IMSI i dostawcy, w celu profilowania lub innych złych zamiarów. Więc najlepiej byłoby „dobry glina” / „zły glina” aukcji: D
Izzy