Co oznaczają te przerażające uprawnienia do aplikacji

Wszyscy słyszeliśmy historie o złych aplikacjach, które chcą ukraść twoje cenne dane i wysłać je za granicę, a dyskusje te zawsze kończą się jedną rzeczą - ktoś mówi, że musisz przeczytać uprawnienia aplikacji przed jej zainstalowaniem. Cóż, w porządku, ale jest mały problem - skąd wiesz, co do cholery oznaczają te uprawnienia? Coś w stylu narzędzi systemowych: automatyczne uruchamianie przy rozruchu jest wystarczająco łatwe do odczytania i zrozumienia, ale wiele innych nie jest tak łatwe. Problem polega na tym, że aplikacje mogą mieć dobry powód, aby z nich korzystać, ponieważ jedno pozwolenie może obejmować kilka różnych rzeczy i nie ma dobrego miejsca, aby zobaczyć dokładnie, co one wszystkie oznaczają.

Rzućmy okiem na niektóre typowe uprawnienia, które brzmią naprawdę przerażająco. Mamy nadzieję, że pomoże ci to lepiej zrozumieć, dlaczego deweloper może chcieć określonego pozwolenia lub dlaczego nie powinien o nie prosić.

Usługi, które kosztują Cię pieniądze - bezpośrednie połączenia z numerami telefonów

Gdy ostrzegasz mnie, że coś będzie mnie kosztować, i masz moją uwagę. To pozwolenie oznacza, że ​​aplikacja może automatycznie nawiązywać połączenia telefoniczne. Każda aplikacja może uruchomić domyślny program do wybierania numerów, a nawet wpisać numer, ale o ile nie zostanie udzielone to uprawnienie, musisz nacisnąć przycisk połączenia. Takie rzeczy, jak wymiana telefonu, Google Voice lub cokolwiek powiązanego z telefonem, musi mieć to uprawnienie. Jeśli aplikacja tego wymaga, ale nie powinna mieć nic wspólnego z wykonywaniem połączeń, dowiedz się, dlaczego ludzie, którzy włączyli ją do Google Play, zanim ją zainstalują.

Czasami nie jest oczywiste, dlaczego aplikacja potrzebuje pozwolenia na zrobienie czegoś, co jest przydatne i bezpieczne.

Usługi, które kosztują Cię pieniądze - odbieranie i wysyłanie wiadomości SMS lub MMS

Znowu z kosztowaniem mnie pieniędzy. Subskrypcyjne usługi SMS są dla oszusta łatwym sposobem na zarabianie pieniędzy, dlatego warto na nie zwrócić uwagę. Twoje ulubione aplikacje SMS będą tego potrzebować (to ma sens), ale także aplikacja, która pozwala edytować lub robić zdjęcia i wysyłać je do znajomych. Aplikacje, które mogą udostępniać dowolne media, prawdopodobnie będą miały to ustawienie. Konieczne jest wykorzystanie zamiaru udostępnienia czegokolwiek za pośrednictwem wiadomości SMS lub MMS. Jeśli aplikacja nie może nikomu wysłać, należy sprawdzić, dlaczego programiści tego potrzebują.

Twoje dane osobowe - czytaj / pisz swoje kontakty

Klient poczty e-mail lub inny typ komunikatora korzysta z tego uprawnienia, aby robić dokładnie to, co mówi - czytać kontakty. Podobnie będzie z widżetem na ekranie głównym, który może zawierać skrót do osoby. Lub Twitter lub Facebook - chcą znaleźć twoich przyjaciół, którzy również korzystają z ich usług lub ułatwiają spamowanie tym, którzy tego nie robią. „Kontakty” to pojęcie szerokie, ponieważ dla jednego kontaktu można zapisać tak wiele informacji. Widzimy to w grach, które również mają tabele wyników. Wszystko, co może skontaktować Cię z kimkolwiek innym, prawdopodobnie będzie wymagać tego pozwolenia.

Zezwolenie na pisanie do kontaktów jest zgodne z tą samą logiką - jeśli aplikacja może dodać znajomego, może potrzebować tego uprawnienia. W tym przypadku „pisz” oznacza modyfikuj lub dodawaj do listy kontaktów, a nie pisz wiadomości do kontaktu.

Twoje dane osobowe - odczytywanie / zapisywanie wydarzeń w kalendarzu

Ten jest dość prosty. Robi tylko jedną rzecz - przeczytaj swój domyślny kalendarz. Niektóre aplikacje będą musiały mieć dostęp do Twojego kalendarza. Oprócz oczywistych powodów, aby tego potrzebować, aplikacje, które mogą robić takie rzeczy, jak przypominanie o czasie przyjmowania leków lub automatyczne informowanie o zbliżającej się podróży, mogą to zrobić, czytając kalendarz. Jeśli aplikacja musi coś zrobić w dowolnym momencie w przyszłości, czytanie kalendarza jest ważnym wnioskiem o pozwolenie. Jeśli nie, dowiedz się, co chce zrobić przed instalacją.

Pisanie wydarzeń w kalendarzu jest powszechną rzeczą, której potrzebuje aplikacja, która ma uzasadniony powód, aby je przeczytać. Jeśli nie jest oczywiste, dlaczego aplikacja potrzebuje tych uprawnień, opis w Sklepie Play powinien zawierać więcej informacji. Jeśli nadal nie masz pewności, zapytaj programistę.

Połączenia telefoniczne - czytaj status i tożsamość telefonu

To najbardziej nadużywane i najmniej zrozumiałe ze wszystkich zezwolenie. Musisz zrozumieć, że to uprawnienie obejmuje dwie różne rzeczy, których nie należy łączyć w całość. Istnieje wiele dobrych powodów, aby przeczytać stan swojego telefonu. Gra jest świetnym przykładem. Być może robisz swoje i grasz, gdy nagle dzwoni telefon. Gra musi się cofnąć i pozwolić, aby powiadomienie o połączeniu przychodzącym kontrolowało Twój ekran. Żądanie połączenia może przejąć kontrolę (i to robi), ale gra musi to wiedzieć, aby mogła zatrzymać akcję w tle, dopóki nie wrócisz do niej. Można to zrobić, gdy zmieni się stan telefonu.

Ważne jest, aby wiedzieć, o który identyfikator prosi aplikacja.

Telefon może zrobić kilka różnych rzeczy, aby zapewnić unikalną tożsamość. Każdy telefon ma inny identyfikator urządzenia i można go ujawnić bez udostępniania jakichkolwiek prywatnych informacji. Gdy widzisz, ile osób używa określonej wersji Androida na wykresie od Google, używają tego identyfikatora urządzenia, aby uzyskać te liczby. Gdy wejdziesz do Google Play, jesteś liczony, a ponieważ każda liczba jest inna, jesteś liczony tylko raz. Ta liczba jest również najlepszym sposobem dla aplikacji, która może przechowywać ustawienia lub ulubione w chmurze, aby powiązać je z tobą i tylko z tobą. To jest identyfikator, który chcemy udostępnić, ponieważ może on tylko powiedzieć, jaki masz telefon i jakie oprogramowanie jest na nim, aby żadne dane nie zostały ujawnione.

Zezwolenie to jest również wymagane, aby aplikacja mogła odczytać inny unikalny identyfikator - Twój numer IMEI. Twój numer IMEI to sposób, w jaki twoja firma telefoniczna łączy twój telefon z tobą - twój adres, imię i nazwisko oraz wszystko, co musisz podać, aby kupić telefon, który może udowodnić, kim jesteś. Te dane są trudne do zdobycia - między nimi a dowolnymi danymi konta są co najmniej trzy różne bezpieczne i szyfrowane serwery baz danych, ale nie jest to niemożliwe. Ponieważ wszyscy widzieliśmy historie o dużych firmach telekomunikacyjnych od czasu do czasu ujawniających losowe dane użytkowników, nie jest to coś, czym chcesz się dzielić bez uzasadnionego powodu.

Ponieważ nie masz sposobu, aby dowiedzieć się, który identyfikator pobierze aplikacja, która o to poprosi, powiedz „nie”, gdy zobaczysz ten, chyba że wiesz, dlaczego tego chce i co z nim robi.

Twoja dokładna lokalizacja - GPS i lokalizacja oparta na sieci

Jeśli aplikacja musi wiedzieć, gdzie jesteś, musi zapytać o Twoją lokalizację. Nieokreślona lokalizacja za pomocą czegoś takiego jak baza danych AP Wi-Fi działa wystarczająco dobrze dla wielu rzeczy, ale czasami musisz uzyskać dokładność, a to jest druga prośba o pozwolenie.

Potrzeba precyzyjnej lokalizacji może być określona przez niewielką ocenę. Czy ta aplikacja musi wiedzieć, co jest w odległości 50 metrów ode mnie? Jeśli odpowiedź brzmi tak, potrzebuje dokładnej lokalizacji. Aplikacja, która mówi osobie poruszającej się na wózku inwalidzkim, gdzie znajdują się windy lub łazienki w centrum handlowym (te istnieją, i pochwały dla osób, które je wykonały) potrzebuje Twojej dokładnej lokalizacji. Aplikacja, która mówi ci, co jest w sprzedaży w Target, gdy wchodzisz na parking, nie robi tego. Oczywiście każda aplikacja z mapą lub wskazująca drogę dojazdu musi również wskazać Twoją lokalizację.

Czasami aplikacje z reklamami potrzebują tego tylko dla firmy reklamowej. To Ty decydujesz, czy potrzebujesz tych aplikacji wystarczająco mocno.

Twoje dane osobowe - modyfikuj / usuwaj zawartość karty SD

Jest to uprawnienie, które pozwala aplikacji na odczyt lub zapis na zewnętrznej pamięci telefonu. To dawało darmowy przebieg aplikacji w celu przeglądania twoich danych, zmiany tych danych, usuwania tych danych i dodawania kolejnych danych w dowolnym miejscu na karcie SD. Jest to trochę mylące, ponieważ niekoniecznie oznaczają małą kartę SD, którą można wyjąć z telefonu. W systemie Android pamięć telefonu jest określana w systemie plików jako karta SD. Mała karta SD to pamięć zewnętrzna. Było to potrzebne do obsługi przechowywania danych systemowych na wymiennej karcie pamięci z powrotem, gdy została opracowana. Nie zmieniło się, ponieważ zmiana nazwy spowodowałaby uszkodzenie wielu aplikacji.

Jak aplikacje mogą odczytywać dane z pamięci, gdy Google próbuje zrównoważyć wygodę i bezpieczeństwo.

Google zrobił wiele, aby uczynić to zezwolenie nieszkodliwym. W każdej wersji dopracowują sposoby, w jakie aplikacja może uzyskać dostęp tylko do potrzebnych informacji. Ale wciąż są ludzie, którzy używają starszych wersji, co może oznaczać, że to pozwolenie jest nieco poważniejsze. Jeśli jesteś jednym z nich, upewnij się, że ufasz aplikacji przed jej zainstalowaniem.

Jest drugi powód, dla którego wymieniam ten. Każda aplikacja napisana dla API poziomu 4 (Android 1.6 Donut) lub niższego domyślnie otrzymuje to uprawnienie. W okolicy nie ma zbyt wielu takich aplikacji. Jest to jednak sposób na uzyskanie dostępu do aplikacji, która nie pochodzi z Google Play, nie powinna, jeśli Twój telefon ma starszą wersję Androida. Jaka szkoda może z tego wynikać, zależy od rodzaju danych przechowywanych w telefonie.

Telefony z Androidem 7 Nougat i aplikacje zbudowane na telefony z Androidem 7 korzystają z dostępu do katalogu z zakresem, a ten w końcu zostaje wyłączony.

Komunikacja sieciowa - pełny dostęp do sieci

To pozwolenie oznacza dokładnie to, co mówi. Aplikacja chce mieć możliwość wysyłania żądań i uzyskiwania odpowiedzi przez sieć (Wi-Fi lub połączenie danych telefonu). Oprócz aplikacji, które używają Internetu do czegoś oczywistego, aplikacje z reklamami w tym również potrzebują tego.

Chociaż jest to dość nieszkodliwe pozwolenie, jeśli chodzi o twoje dane osobowe, może ono wykorzystywać twoje przydziały danych, nie zdając sobie z tego sprawy. Nienawidzimy płacić za dodatkowe dane tak samo jak ty. Użyj trybu samolotowego, gdy brakuje Ci danych i jeśli znajdziesz aplikację, która powinna działać w trybie offline, ale nie działa, odinstaluj ją. Jest zbyt wiele dobrych aplikacji, by oszukać, które nie są zgodne z najlepszymi praktykami.

Istnieje również wiele innych, mniej podejrzanych uprawnień. Aplikacja do robienia zdjęć musi kontrolować Twój sprzęt. Netflix musi czuwać przez 90 minut, gdy go nie dotykasz. Widżet profilu dzwonka wymaga dostępu do twoich ustawień. Kiedy natrafisz na pozwolenie, które wydaje się nie na miejscu, zwykle trochę dedukcyjnego rozumowania może dowiedzieć się, dlaczego aplikacja go żąda. Jeśli nie, czytaj komentarze w Google Play i zadawaj pytania na forach. Nie instaluj po prostu czegoś, co wydaje ci się niespokojne, i nie zakładaj automatycznie najgorszego.

Większość aplikacji w Google Play nie kradnie twoich danych ani pieniędzy.

Pamiętaj, że większość osób piszących aplikacje chce zarobić trochę pieniędzy lub robi to, ponieważ jest to zabawne. Istnieje niewiele aplikacji do gromadzenia danych. Czasami programiści popełniają błąd - nie jest trudno zmusić Androida do pytania o pozwolenie, którego nie używa aplikacja, i łatwo jest przeoczyć te błędy podczas ich tworzenia.

Android ma się znacznie lepiej niż kiedyś, jeśli chodzi o uprawnienia. Istnieje duża szansa, że ​​możesz odmówić którejkolwiek z nich po zainstalowaniu aplikacji w ustawieniach telefonu, a niektóre z najczęstszych „przerażających” uprawnień znikają całkowicie. Ale przy tak wielu różnych telefonach z tak wieloma różnymi wersjami Androida te informacje mogą dla niektórych oznaczać więcej niż dla innych.

Będziemy na bieżąco informować o zmianach.