užitečné články

Proč tato aplikace pro Android potřebuje tolik oprávnění?

Vážený Goldavelez.com,

Četl jsem váš článek o oprávněních Chrome minulý týden, ale chci vědět o oprávněních pro aplikace pro Android. Vypadá to, že každý vývojář aplikace chce v mém telefonu tolik přístupů! Opravdu potřebují všechna tato povolení, nebo pouze shromažďují moje data?

S pozdravem,

Paranoidní Android

Vážený paranoidní Android,

Oprávnění pro Android jsou zároveň nejlepším přítelem a nejhorším nepřítelem vývojáře pro Android. Některé z nejlepších aplikací dostupných od renomovaných vývojářů aplikací a společností stále potřebují určitá hluboká oprávnění, aby mohly dělat základní věci. Na druhou stranu diskuse o malwaru pro Android rozhodně činí tento dlouhý seznam oprávnění před instalací nové aplikace děsivým zážitkem. Podívejme se, jestli vám můžeme uklidnit mysl.

Přečtěte si seznam oprávnění a připojte jej zpět k funkcím aplikace

Pokaždé, když nainstalujete aplikaci do systému Android, zobrazí se vám seznam oprávnění, která aplikace potřebuje, aby fungovala. Pokud tento seznam nekontrolujete dříve, než kliknete na tlačítko „Instalovat“, začněte hned teď - lépe si přečtete, jaké informace aplikace skutečně potřebuje a jaké funkce vašeho zařízení má aplikace k dispozici pouhým přečtením tohoto seznamu. Je to lákavé prostě to přeskočit, ale vzdorovat: měli byste si je alespoň prohlédnout, abyste si byli vědomi.

První věc, kterou musíte pochopit, je to, co všechna ta oprávnění, která souhlasíte s tím, aby aplikace měla, když ji nainstalujete, ve skutečnosti znamená. Některé aplikace žádají jen tuny, aby fungovaly (Facebook, Google+, Gmail atd.), Zatímco jiné vyžadují relativně málo. Toto vlákno ve fórech pro Android odvede skvělou práci při vysvětlování toho, jak oprávnění fungují a co každý typ dělá, doplněné příklady toho, co jednotlivé typy oprávnění znamenají. Je to dobré čtení, ale v konečném důsledku je méně důležité, abyste pochopili, co znamená každý typ oprávnění, protože jste pochopili, že aplikace to vyžaduje při instalaci nebo aktualizaci. Ujistěte se, že jste si přečetli seznam oprávnění, a zkuste každé z nich porovnat zpět s nějakou funkcí nebo funkcí aplikace. Pokud můžete rozumně svázat oprávnění aplikace zpět k funkci (aplikace SMS, která potřebuje číst zprávy SMS nebo aplikaci ID volajícího, která potřebuje přístup k „přečtení stavu a identity telefonu“), pak je tu jen málo starostí. Přiznejme si to: většinu času aplikace žádá o oprávnění, která dělá, protože.

Jedinou pozoruhodnou výjimkou z tohoto pravidla jsou aplikace, které vyžadují root. Když rootujete svůj telefon s Androidem, udělujete si takovou úroveň přístupu k vnitřním funkcím operačního systému vašeho telefonu. Když aplikace objeví žádost o superuživatele a požádá o root, měli byste vážně přemýšlet o tom, zda ji aplikace potřebuje. Aplikace jako ROM Manager a Titanium Backup potřebují root, protože v telefonu provádějí úkoly na systémové úrovni. Pokud však aplikace hodin nebo dokonce nový spouštěč aplikací požaduje kořenový adresář, ujistěte se, že rozumíte tomu, proč to potřebuje, než kliknete na „Povolit“. Pokud tak neučiníte, nedělejte to.

Dejte si pozor na aplikace, které kombinují oprávnění bez důvodu

Mluvil jsem s Prateekem Srivastavou, studentem CS a vývojářem systému Android, o tom, co všechna tato oprávnění znamenají a zda jsou ze své podstaty nebezpečná. Vysvětlil, že většina povolení je sama o sobě docela neškodná:

„Internetové povolení samo o sobě nemůže udělat mnoho - a je pravděpodobné, že většina aplikací potřebuje k zobrazování reklam. Co byste si měli opravdu dávat pozor, je pro aplikace, které kombinují povolení, nechtějí. Například, pokud jste měli podporovaná aplikace pro prohlížení souborů, která požadovala oprávnění ke čtení vašeho úložiště a pro zobrazování reklam na internetu - neexistuje způsob, jak zabránit tomu, aby aplikace pouze zveřejňovala vaše data v souborových systémech vašeho telefonu (včetně obrázků z vašich kamer) na internet. "

Je pravda, že i aplikace, u nichž se zdá, že mají legitimní použití pro více oprávnění, mohou být nebezpečné. MakeUseOf vysvětluje některé typy oprávnění, které byste měli hledat, zejména pokud jsou kombinovány v jedné aplikaci, stejně jako Matthew Pettitt v tomto skvělém článku. Je snadné se bát, když uvidíte, kolik informací mnoho aplikací vyžaduje - dokonce i aplikace z důvěryhodných zdrojů - ale musíte si položit tyto otázky, když uvidíte tyto dlouhé seznamy oprávnění:

  • Je tato aplikace od důvěryhodného vývojáře? Vypadá to jako malware?
  • Rozumím, proč tato aplikace tato oprávnění potřebuje?
  • Vysvětluje mi vývojář, proč potřebují tato povolení? (Jsou uvedeny na Google Play, spolu s důvody pro každou žádost o povolení? Často jsou.)

Pokud je odpověď na všechny tři tyto otázky ano, jste v dobré kondici. Pokud začnete odpovídat ne, měli byste začít uvažovat, zda skutečně potřebujete danou aplikaci. Dokonce i aplikace od důvěryhodných vývojářů mohou shromažďovat velké množství dat, a to buď pro reklamní a marketingové účely, nebo proto, že je někdo zavrhl. Pokud máte aplikaci od vývojáře, o které jste nikdy neslyšeli, a nevysvětluje, proč potřebuje oprávnění, která má, zůstaňte mimo, pokud nechápete, že oprávnění jsou nezbytná pro typ aplikace, kterou je.

Povzbuzujte vývojáře, aby na Google Play vysvětlili své potřeby povolení

Při pohledu na aplikaci, která vyžaduje spoustu oprávnění, může být děsivé, ale před přechodem na závěry zkontrolujte seznam aplikací na Google Play. Jak jsme zmínili výše, pokud vývojář vysvětlí, proč je pro jejich aplikaci zapotřebí každé povolení, nemusíte se čeho bát, pokud si myslíte, že aplikace nedělá něco jiného v zákulisí, a pokud ano, budete pravděpodobně uvidí lidi o tom mluvit v recenzích aplikace.

Podívejte se na popis aplikace na Google Play a zjistěte, zda vývojář neuvedl oprávnění ve spodní části seznamu funkcí. Stále více devs to dělá, částečně proto, že vědí, že musí bojovat proti paranoia, ale také musí být transparentní, jaké informace jejich aplikace od vás potřebuje. I když jej na Google Play neuvedou, často najdete další informace na webu vývojáře. Například správce úkolů Any.DO požaduje některá docela děsivě vyhlížející povolení, ale jeden pohled na jejich nejčastější dotazy pro Android by měl vaše obavy zbavit.

Pokud nevidíte oprávnění vysvětlená na Google Play nebo na webu vývojáře, pošlete je e-mailem a zeptejte se. Mnoho aplikací na Google Play má odkaz „Navštivte webovou stránku vývojáře“ nebo „Zásady ochrany osobních údajů“, které vám poskytnou další informace. I když tomu tak není, měli by určitě mít odkaz „vývojář e-mailů“, pomocí kterého můžete zrušit řádek a zeptat se, proč jejich aplikace vyžaduje oprávnění. Vyzvěte je, aby tyto informace přidali na svou stránku aplikace na Google Play. Prateek vysvětluje:

„Pro vývojáře sami Google doporučuje, abyste požádali o co nejmenší oprávnění. Vývojáři jsou také líní - například většina vývojářů by pouze požádala o informace o vašem uživatelském účtu, aby uživatele jednoznačně identifikovala ze své e-mailové adresy nebo telefonního čísla (může to být z mnoha důvodů) - možná ověření na straně serveru, že aplikace není pirátská.) Zde je nastíněn lepší způsob, jak toho dosáhnout (bez vyžadování osobních údajů). "

To je o to více důvodů, že vývojáři musí být transparentní ohledně oprávnění, která požadují, uvedl, a proč uživatelé musí být opatrní - ne paranoidní - a vyzvat vývojáře, když nevědí, proč aplikace potřebuje oprávnění, která udělá.

Monitorování a vylepšení oprávnění aplikace na vlastní pěst

Pokud opravdu chcete nainstalovat aplikaci, která má pochybná oprávnění nebo aplikaci s oprávněními, kterým prostě nerozumíte (nebo si nemyslíte, že je pro aplikaci nezbytná), existují aplikace, které vám mohou pomoci. Některé z nich přestanou rušivým aplikacím v získávání požadovaných dat, jiné pouze monitorují aplikace, které instalujete, aby zjistily, zda nedělají něco chytlavého. Například:

  • Ochrana soukromí PDroid (vyžaduje root) je dříve zmiňovaná aplikace, která dohlíží na typy informací, které vaše aplikace vyžadují, a umožňuje vám je povolit nebo zakázat pro jednotlivé aplikace. Můžete zablokovat přístup k osobním nebo identifikačním informacím pro každou nainstalovanou aplikaci a během procesu to aplikaci nepřeruší.
  • LBE Privacy Guard (vyžaduje root) se chová trochu jako firewall založený na aplikacích pro Android, upozorní vás, když se aplikace pokusí získat přístup k datům, a dává vám možnost ji povolit nebo zamítnout. Klíčem je to, že pokud odepřete něco, co aplikace potřebuje, může se velmi dobře zhroutit, takže před klepnutím budete muset myslet. Mějte na paměti, že lidé milovali starou verzi a nová verze nebyla na Google Play přijata, takže se váš počet najetých kilometrů může lišit.
  • PermissionDog je další aplikace, kterou máme rádi, protože vám přesně ukazuje, jak nebezpečné jsou nainstalované aplikace na první pohled. Stačí si listovat seznamem, které jsou v pořádku a kterým byste měli věnovat více pozornosti. Přesto budete muset prozkoumat: například protože Google Voice vyžaduje přístup ke stavu telefonu, identitě, SMS, spánku / probuzení a dalším povolením, je označen jako nebezpečný. To je správná klasifikace, ale Google Voice vyhovuje testu vůně.
  • Pocket Permissions je kompletní průvodce oprávněními k aplikacím. Je to užitečné pro začátečníky Android nebo kohokoli jiného, ​​kdo se o dané téma zajímá, a chce více podrobností o tom, co jednotlivé typy oprávnění konkrétně znamenají a jaká data jsou k dispozici, když je toto oprávnění uděleno. Pomocí aplikace můžete prozkoumat oprávnění a pochopit, proč je ostatní aplikace potřebují. Podle oprávnění můžete zjistit, které aplikace si to vyžádají, seřadit podle rizika nebo důležitosti atd. Jsou to 2 dolary, ale je to hodnotný průvodce.

Výzkum před panikou

Neexistuje žádný důvod k zuřivosti pokaždé, když najdete aplikaci, která vyžaduje velký počet povolení. V mnoha případech může být problém pouze v tom, že nechápete, proč aplikace potřebuje svá oprávnění - může to být určitá závislost v systému Android, kterou vývojář musel splnit, aby aplikace fungovala. Může to být funkce v aplikaci, které plně nerozumíte. Než odletíte z úchytky a obviníte dev z krádeže svých dat, zkontrolujte Google Play nebo se jich přímo zeptejte. Pokud to zní jako příliš velké úsilí, prostě neinstalujte aplikaci a najděte alternativu, která je transparentnější.

„Nakonec jako uživatel musíte vývojáři opravdu důvěřovat tomu, co dělají s oprávněními. Můžete udělat dobrý vzdělaný odhad, ale to je o tom. Jako vývojář musíte být transparentní v tom, co a proč potřebujete všechna povolení. Například pokud potřebujete shromažďovat analytické údaje o své aplikaci a zveřejňovat výsledky na serveru, potřebujete povolení k internetu. Pokud je však vaše aplikace pouze hodinovou aplikací, uživatelé budou zmateni, proč mít povolení k internetu. “

Hodně štěstí,

Goldavelez.com