ESET警示:移动应用的权限(依然)比你想象的更重要

Posted on by
移动应用的权限(依然)比你想象的更重要

应用权限几乎就像一个看不见的哨兵,控制着你的应用获得哪些类型的数据和设备访问权限。如果你曾经下载过新应用或激活新功能,很可能会遇到权限提示。但我们中有多少人曾无意识地点击了“允许”,却没有多想?

有些权限是应用合适的。但有些人可能(有意或无意)突破了严格必要的界限。还有一些人可能明显恶意。了解哪些要避开,哪些要格挡很重要。

应用权限到底是怎么回事?

应用权限弹窗本质上是你和移动作系统之间的对话。它实际上是在告诉你,一个新的应用程序请求访问某些数据或功能。而且它正在请求你的批准(许可)才能让应用这样做。这些请求以前都是预装的。但现代 iOS 版本在运行时,也就是你刚开始使用应用时,会提示权限。安卓同时提供,只在低风险权限时弹出安装提示。

自 Android 6.0 起,权限分为两类:普通权限,如互联网访问,安装时无用户提示自动授予;以及危险权限,如位置、麦克风或联系人权限,必须在运行时(首次尝试使用相关功能时)获得用户明确批准。新版本还引入了额外权限,如后台位置和通知,可能需要分开或多步的同意流程。iOS 在运行时以类似方式显示所有敏感权限。

对于开发者来说,权限是为用户提供无缝且功能丰富的体验的关键方式。如果应用每次使用都必须请求访问设备数据或功能,那它几乎无法使用。

近年来,iOS和Android都引入了有意义的内置保护措施,以降低赋予应用过度权限的风险。不过,最终决定权通常在你手中。

应用权限的危险

无论是恶意还是其他原因,有些应用都会要求比实际需要更多的访问权限。比如手机游戏请求访问联系人,或者计算器应用请求访问你的麦克风和摄像头权限。

如果在不经过思考的情况下批准权限,可能会让恶意开发者访问敏感的智能手机数据(日历、消息应用、短信、文件和存储、联系人、通话记录、位置、麦克风和摄像头等)。理论上他们甚至可以在你打字时读取你的屏幕。通过这种访问,他们可以:

获取你最敏感账户的密码(例如,网上银行)

  • 拦截一次性短信密码
  • 为您的设备注册高级订阅服务
  • 构建你的数字生活图景,向广告商销售
  • 通过监控你的位置,冒着你的身体安全风险
  • 打开摄像头/麦克风,把智能手机变成窃听器
  • 加密你的文件并以此为人质
  • 设备上存在恶意软件(例如,信息窃取者、勒索软件)

人工智能助理应用(更不用说伪装成助理的应用)代表着日益增长的权限风险,值得特别指出。许多人要求始终在线的麦克风访问以检测唤醒词,以及联系人、日历,有时甚至屏幕内容。对AI应用应与其他类别一样审视。健康与健身数据也是另一个被低估的投资。能够访问健康指标的应用可以以具有现实影响的方式分享或出售这些数据,包括对保险和数据经纪业务的影响。

permissions
2023年一家欺骗性贷款应用请求的长长权限清单(来源:ESET Research)

哪些应用权限应该引起警觉?

应用权限取决于上下文。一个应用要求提供用户期望的体验,可能与另一个应用所需的权限有很大差异。不过,有些权限总是会引起一些警示信号。包括:

  • 无障碍服务:这也被称为“上帝模式”,可能让恶意开发者看到你输入的内容,读取你的消息,并在你不知情的情况下秘密授予其他权限。(注意,这功能在iOS上无法原生支持。新的安卓作系统版本将不允许安装在Play商店外的应用请求此权限。他们每隔几周会检查你是否愿意继续授予这个许可。)
  • 背景地点: 这可能使恶意行为者能够追踪你的设备,构建你日常生活的详细图景。(注:为了降低风险,安卓和iOS不会让你事先“始终允许”,并且会定期要求你确认是否要维持“始终允许”的追踪。)
  • 短信/通话记录: 很少有应用需要访问你的短信和通话记录。黑客可以读取你的一次性密码并劫持你的账户。 (注:应用要在安卓上请求这些权限,必须先注册为该功能的默认应用。iOS不允许从App Store下载的任何应用请求“阅读短信”或“查看通话记录”的权限。)
  • 叠加权限: 允许应用在你可能使用的另一个应用上绘制“窗口”,这可能会触发“点击劫持”攻击。(注:Android 要求用户通过设置 > 应用 > 特殊应用访问 > 显示在顶部显现,明确启用此功能。iOS 没有类似权限。)

安全管理应用权限

在允许或屏蔽之前,务必考虑该应用是否需要许可才能完成其工作。

另一个不错的经验法则是只“允许一次”或“使用时”。只有像“查找我”这样的安全应用才应该全天候24小时访问。

你应该被要求定期审查许多应用的权限。但主动审计权限可能是个好主意。方法如下:

iOS

  1. 前往设置>隐私与安全
  2. 滚动到底部,点击(或开启)应用隐私报告
  3. 这会显示哪些应用访问了你的数据以及何时访问。

或者:

  1. 进入应用>设置
  2. 选择一个特定的应用(例如Instagram)。
  3. 你会看到所有开关列表(摄像头、麦克风、联系人)。关闭所有非必要的功能。

安卓

  1. 进入设置>安全与隐私>隐私>隐私仪表盘
  2. 点击7天视图(右上角菜单),查看过去一周所有使用传感器应用的时间线。(这些步骤可能在所有安卓设备上都不相同,请务必核实。)
  3. 如果你看到凌晨3点有应用使用麦克风,点击即可立即撤销访问权限。

另外(导航路径在不同安卓皮肤上仍然不同):

  1. 进入设置>应用>[应用名称]。
  2. 确保“管理未使用应用”(或“未使用时暂停应用活动”)开
  3. 如果你几个月不使用该应用,安卓会自动剥夺权限,删除临时文件,并停止通知。

最重要的是,只从合法商店(Google Play/App Store)下载应用。先阅读他们的评价后再决定是否购买。考虑安装信誉良好的安防服务商的移动安防解决方案。