别引狼入室——APP安装权限的秘密

技术密码

@河北 大乐 · 2011年11月7日 第44期

44-qqerrty.jpg

有多少人会在安装应用程序前仔细阅读该程序将获得的权限呢?对于那些潜在的危险你是否有足够的认识呢?今天我们就给大家讲一下Android应用程序的权限,让你了解平时忽略的知识!

44-c9-1-3.jpg
44-c9-1-4.jpg

您的个人信息 危险指数:★★★★★

这是一个听起来非常重要的权限。通常系统优化、地图、输入法、浏览器、数据同步管理等应用需要用到,它可以在未经允许的情况下,直接调用手机中联系人的资料以及你的日历活动,就连浏览器的历史记录和收藏书签也不会放过,还能自动发送电子邮件。由于大部分应用不需要该权限,所以碰到时一定多想想。如果像是《推箱子》一类的小游戏还需要这样的高权限的话,那就非常不合理了。

需要您付费的服务 危险指数:★★★★★

同样是一个危险指数达到五星的权限。它可以在后台,你毫无察觉的情况下拨打电话、发送短消息。对于像《移动网上营业厅》、《股票操盘手》这样的应用来说,的确是方便了很多,可以把复杂操作简单化,但对于流氓应用来说,可是一个大显身手的好机会,要知道短信订阅服务无处不在,随便发一条短消息,就能让你每个月被白白扣掉几块钱,听起来不多,但一年下来也不是个小数目,如果自动拨打声讯电话,扣费就更狠了,每分钟少则一元,多则十几元,很快就可以把你的电话费吸得干干净净。对于需要这种权限的主题包、铃声等应用,杀无赦,斩立决。

您的信息 危险指数:★★★★★

“现在的科技,根本不必装窃听器。现在每个人的手机,就是一部窃听器。”此前的香港电影《窃听风云》中,吴彦祖的这段话让人印象深刻。原本是为人们生活提供便利的手机,如果在使用中不小心,就能成为每时每刻带在身边的一颗“炸弹”,变成某些人窃取隐私的辅助工具。在Android应用的权限中,“您的信息”专门控制短消息和彩信的收发,通常只有《钛备份》、《安卓系统优化》、《GO短信》这样的应用才需要用到。如果有游戏需要获得这个权限才能运行,那肯定会在私底下干见不得光的事。

您的位置 危险指数:★★★★

这个权限解释起来就很简单了,可以通过GPS定位芯片或者基站定位获得手机所在的位置。或许有些用户不明白,除了地图应用外,其他应用采集地理数据究竟有什么用呢?很多生活类应用可以基于地理位置推送实用信息,例如《大众点评》可以告诉你周围有哪些美食、加油站、便利店,有些广告也是基于这一点,实现精确投放。当然,有些应用想获得这个权限另有所图,例如间谍程序,配合网络通信权限,能实时将地理位置发送出去,实现手机跟踪。建议平时还是把位置服务关闭比较好,既安全又省电。

网络通信 危险指数:★★★

电子市场里绝大多数应用都会申请网络通信权限,它允许应用在运行过程中从网络下载数据。对于一些不具备交互的应用,例如单机游戏《象棋》、《黄金矿工》,通常需要这种权限,要么是方便更新,要么为下载广告内容用于展示,但如果发现这些应用常驻内存,甚至开机自动启动,偷偷消耗流量,那就要引起注意,很可能是刷取恶意流量,或者搭建Android僵尸网络。

44-c9-1-9.jpg
Pocket Zoo,单机应用之所以需要网络通信权限,完全是为了广告

您的账户 危险指数:★★★

“您的账户”权限很少有应用程序需要用到,别看它具有验证用户身份和管理账户列表的能力,但应用范围却仅限于谷歌系的各种程序,例如《谷歌地图》、《电子市场》等等,大部分应用的账户信息都不在它的管辖范围内,所以打它主意的人并不多,相对来说是一项比较安全的权限。

存储 危险指数:★★★

拥有存储权限就可以随意修改和删除SD卡中的数据。目前有95%以上的Android应用需要获取它才能正常使用,例如文件管理、拍照存储、缓存读写、记录存档等。有些木马病毒则利用这个权限,对SD卡内的数据进行破坏。想要防止杯具发生难度挺大,只有去正规的电子市场下载应用,才能防患于未然。

硬件控件 危险指数:★★★★

硬件控制权限相比之下就容易理解得多,例如《Gif快手》需要摄像头来配合,游戏《傲气雄鹰》有力反馈,需要用到震动器,《米聊》需要麦克风配合等。听起来挺安全,不过是相对的,有些应用会在后台悄悄启动摄像头,如果拍到一些不该拍到的东西再传到服务端,你懂的,又一个艳照门事件。

44-c9-1-10.jpg
Sca,壁纸软件还需要控制摄像头?如果不是带有拍摄功能,那么多是为了偷拍

手机通话 危险指数:★★★

手机通话是最不容易被理解的权限。一些应用需要了解手机当前的状态,如果有电话打入,则将音频控制权交还给操作系统,通话结束之后则重新激活,最典型的应用就是《凯立德导航》。拥有该权限,还可以获取手机的IMEI识别码,甚至是手机号码,开发者有时会用这些信息来记录用户使用习惯,例如对某些在线服务的偏好,或使用该应用的频率。以一款音乐应用为例,开发者会使用IMEI来追踪用户究竟喜欢自己服务器上的哪些音乐内容,从而对数据库和页面进行针对性优化,以提高黏度。

系统工具 危险指数:★★★★

系统工具权限比想象的要复杂,不过好在通过字面加上一点点想象就能理解含义,例如管理蓝牙、防止手机休眠 、更改用户界面等。它的危险性在于对手机的控制,尤其是格式化外部存储设备和卸载文件系统,如果在安装应用的时候看到这两点提示,务必长个心眼,因为除了《360安全卫士》这样的系统优化应用外,其他应用鲜有用到。

总结:

希望大家能够明白,并不是所有涉及高危权限的应用都是不可信的,关键看软件本身是否真的需要用到这些权限,此外还有这个应用的开发者值不值得信赖。其实我们在玩Android手机,享受出色应用的同时,也在对手机进行更深入的了解,虽然短时间内还不具备开发应用的水平,但辨别是否安全,还是没问题的。