當前位置:
首頁 > 最新 > 許可權調查:一個應用程序究竟需要多少許可權?

許可權調查:一個應用程序究竟需要多少許可權?

最新 08-20

用指尖改變世界」

如今大眾普通智能手機上平均有60到90個應用。這些應用程序中的大多數都會請求獲取用戶的設備的某些信息。他們可能想知道你的姓名,電子郵件地址或真實地址。但是,由於智能手機功能如此強大,它們也能獲得更多功能,例如你的確切位置。有些應用甚至會請求設備相機或麥克風的訪問權。

雖然所有這些都是在用戶「同意」的情況下完成的,但你仍然可能會對某些應用的個人數據訪問許可權感到驚訝。據賽門鐵克調查,45%最受歡迎的Android應用和25%最受歡迎的iOS應用都請求跟蹤實時位置,46%的流行Android應用程序和25%的流行iOS應用程序請求獲取訪問設備相機的許可權,有些Android應用甚至會要求用戶授權他們訪問您的簡訊和電話記錄。

為了找出應用可能需要的數據類型,賽門鐵克將最受歡迎的應用數據用於測試。他們下載並分析了2018年5月3日在谷歌應用商店和蘋果應用商店上列出的排名前100的免費應用程序。研究人員針對各應用程序展開的調查主要圍繞兩個核心問題:用戶與應用程序共享了多少個人信息,以及應用程序訪問了哪些智能手機功能?


首先得到的是應用程序請求用戶與他們共享的個人身份信息(PII)的數量。電子郵件地址是與應用共享的最常見的PII部分,這部分信息與48%的iOS應用和44%的Android應用分享。PII的下一個最常見的部分是用戶名(通常是某人的全名,因為他們已經在社交網站或應用程序中輸入了該用戶名),這些用戶與33%的iOS應用和30%的Android應用共享。與此同時,電話號碼與12%的iOS應用和9%的Android應用共享。最後,用戶的地址與4%的iOS應用和5%的Android應用共享。

然而,這些統計信息並未完全考慮與應用共享的全部PII數量。

多個應用程序與社交媒體集成,以便用戶可以使用他們的社交媒體帳戶登錄應用程序,並允許該應用程序直接發布到社交網站。對於用戶而言,這意味著他們不需要為每個應用程序管理密碼,可以邀請朋友玩手機遊戲,以及在他們的時間線上共享應用信息。

但這種共生關係還允許應用程序從社交媒體帳戶收集用戶數據,同時還允許社交媒體服務從應用程序收集數據。對於使用社交媒體集成的iOS應用程序,我們能夠看到正在共享的PII。但是,Android應用程序卻並非如此。這是因為這些應用程序都使用了Facebook廣泛使用的圖形應用程序編程介面(API),而Android版本的圖形使用的是證書固定,這使得我們無法看到正在共享的PII。

因此,當我們說電子郵件地址與44%的Android應用程序共享時,這個實際數字可能更高,因為一些Android應用程序使用Facebook Graph API,這也可能與他們共享一個電子郵件地址。

Facebook Graph可能對部分人來說很熟悉,因為劍橋分析公司使用它來編譯與8700萬Facebook用戶相關的個人信息。據報道,這些信息隨後用於2016年美國總統競選期間面向選民的有針對性的社交媒體活動。Facebook通過大幅收緊其API並限制可通過它共享的個人信息量來應對此事件。

雖然Facebook Graph可能是最知名的集成服務,但它並不是使用最廣泛的。在賽門鐵克分析的應用程序中,47%的Android應用程序和29%的iOS應用程序提供了谷歌集成服務,而41%的Android應用程序和26%的iOS應用程序提供了Facebook Graph API服務。


除個人信息外,應用還需要獲得訪問移動設備上各種功能的許可權。

應用可以請求大量許可權,但並非所有許可權都相同。出於這個原因,研究人員仔細研究了我們所說的「風險許可權」——可以提供對涉及用戶私人信息的數據或資源的訪問許可權,或者可能潛在地影響用戶的存儲數據或其他應用程序操作的許可權。風險許可權的示例包括訪問用戶的位置,聯繫人,SMS消息,電話日誌,相機或日曆。

研究者發現攝像頭訪問是最常請求的常見風險授權,46%的Android應用程序和25%的iOS應用程序均發出了獲取請求。緊隨其後的是位置跟蹤,45%的Android應用程序和25%的iOS應用程序都在索求該許可權。百分之二十五的Android應用程序請求錄製音頻的許可權,而9%的iOS應用程序執行此操作。最後,15%的Android應用程序尋求讀取簡訊的許可權,10%的人試圖訪問電話通話記錄。這些許可權都不適用於iOS。

有趣的是,在同時分析安卓和iOS版本應用程序的情況下,一些安卓應用程序要求的許可權比iOS版本更危險。7個Android應用程序請求訪問SMS消息,而iOS版本則沒有。一個Android應用程序請求訪問電話通話記錄,而iOS版本沒有。雖然這兩個許可權在iOS中都不可用,但它確實提出了一個問題:為什麼Android版本需要這些許可權,而iOS版本可以不需要它們。

在談論風險許可權時我們應該強調兩件事。首先,它們需要用戶的許可才能訪問此數據。其次,僅僅因為我們稱他們有風險的許可權並不意味著他們不應該被授予。如前所述,通常有需要它們存在的原因。相反,他們應該被視為許可權,用戶應該更加謹慎地授予,詢問自己該應用是否確實需要此許可權,以及他們是否願意將其授予此特定應用。例如,你是否真的想讓應用訪問您的通話和簡訊只是為了提供個性化提醒?

本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 黑客視界 的精彩文章:

Kronos銀行木馬在沉寂多年之後捲土重來
伊朗黑客組織試圖偽造以色列安全公司官網實施網路釣魚

TAG:黑客視界 |