「在行動」重點關注!綠色應用2.0標準釋出,超過半數應用存在許可權過度獲取問題
相信很多安卓使用者都有這樣的體驗,安裝應用的時候各種許可權申請讓自己眼花繚亂,不耐心的可能一股腦都點同意了,耐心的可能會一項一項看,拒絕一些敏感許可權,比如位置資訊,讀取聯絡人之類的,避免自己的隱私被洩露。隨著安卓綠色聯盟應用體驗標準2.0的釋出,使用者的這個煩惱將會得到改善。
近日,華為終端開放實驗室針對當下消費者最關注的個人隱私和許可權問題對國內千款主流應用進行了摸底測試。
測試結果表明:在TOP1000應用中,超半數應用存在不合理獲取隱私許可權的行為,需要開發者儘快完成整改。
下文就此測試結果進行詳細解讀。
在此之前,我們先了解下應用許可權的類別:
一、應用許可權解讀
Android系統許可權分為3個保護級別:
- 正常許可權:涉及使用者隱私的風險比較小,通常系統會自動向應用授予該許可權。例如,設定時區的許可權就是正常許可權。
- 危險許可權:一般是涉及到使用者隱私的許可權,如果應用想申請使用這些危險許可權,就要給使用者發彈窗提醒。例如,讀取使用者的聯絡人、照相、位置等都屬於危險許可權。危險許可權共分10組,如下圖:
- 特殊許可權:有許多許可權其行為方式與正常許可權及危險許可權都不同。對隱私洩露、裝置控制有重大風險。
**注意:**危險許可權是許可權組概念,也就是說許可權組的任何一個許可權被授權了,該組其他許可權也自動被授權。
二、應用許可權最小化的解讀
根據《安卓綠色聯盟應用體驗標準2.0—安全篇》中的定義,以下是對應用許可權最小化的最新解讀:
**1、原文:**不申請不需要使用的許可權,為自定義許可權設定合理的安全保護級別;
**解讀:**申請許可權滿足最小化原則,申請的許可權全部為應用功能所需,不申請多餘的許可權;應用自定義許可權,自行根據資料和行為的安全敏感度,設定合理的安全保護級別。
**2、原文:**應用申請的許可權,都必須有明確、合理的功能和使用場景;
**解讀:**使用許可權滿足最小化原則,只有使用應用的某個功能,而對應到的某個許可權為該功能和合理要求時,才允許使用相應許可權。比如某聊天軟體,必須在進行視訊聊天、拍照等功能需要的場景下,才允許使用攝像頭,而在其附屬的新聞瀏覽功能中,不允許使用攝像頭。
三、應用許可權獲取測試分析報告解讀
1、測試環境及方法
華為終端開放實驗室通過DevEco的安全檢測能力對TOP1000應用進行許可權測試。方法如下:
Step1、應用類別所對應的合理許可權測試:根據應用類別判定應用申請許可權的合理性。
Step2、應用類別所對應的不合理許可權複核:根據開發者提供的對應許可權使用功能場景介面截圖,進行合理性補充稽核。
2、測試範圍:
選取華為應用市場TOP1000應用,其型別涉及:便捷生活、購物比價、社交通訊、新聞閱讀、影音娛樂、出行導航、拍攝美化、實用工具、教育、美食、汽車、旅遊住宿、商務、兒童、金融理財、運動健康、主題個性和遊戲。
3、測試結果:
- TOP1000應用獲取隱私許可權情況如下:
應用合理獲取隱私許可權可以理解為應用使用了上文中提到的**“許可權最小化”**原則,使用者可知可控。
應用不合理獲取隱私許可權可以理解為申請了“過度”許可權,如,主打照相功能的應用申請了訪問使用者聯絡人、位置、簡訊的許可權,會被認為是不合理的。
由上圖可知,TOP1000應用中不合理獲取隱私許可權佔比65%,表明超半數應用都存在不合理獲取隱私許可權的行為,對使用者隱私構成嚴重威脅。
2)TOP1000應用不合理獲取隱私許可權的應用類別分析:
華為終端開放實驗室參考應用市場的分類標準把TOP1000的應用分成了18類,從上圖中可以看出,15個分類裡超一半的應用存在不合理獲取隱私許可權的行為。
TOP1000的應用中,主題個性類應用表現最差,不合理獲取隱私許可權的行為佔100%,主題個性類應用中過度申請使用者的通訊錄、錄音和電話許可權的行為居多;TOP1000的應用中,商務類應用整體表現相對較好。
綜上所述,在TOP1000應用中,大多數應用都存在不合理獲取隱私許可權的行為,面對這種情況,使用者和開發者分別需要怎麼做呢?
華為終端開放實驗室在此呼籲廣大開發者務必引起重視,按照《安卓綠色聯盟應用體驗標準2.0—安全篇》儘快整改,移除非必要的許可權請求。
四、規範申請和使用許可權建議
1.對開發者
1)申請許可權需滿足最小化原則,申請許可權全部為應用功能所需,不申請多餘的許可權,儘量避免造成使用者隱私的洩露。
2)使用許可權也要滿足最小化原則,只有在必須使用的情況才允許使用相應許可權。比如某聊天軟體必須在進行視訊聊天、拍照等功能需要的場景下才允許使用攝像頭,而在其附屬的新聞瀏覽功能中,不允許使用攝像頭。
3)目前,華為終端開放實驗室綠色應用標準2.0檢測服務全面上線(點選閱讀),已開放高危許可權的檢測服務,歡迎廣大開發者第一時間登入http://deveco.huawei.com使用體驗,目前需要第一時間檢測的高危許可權有:
2.對使用者 建議使用者在應用市場下載帶有綠色標誌的綠色應用,這類應用已經通過安全檢測可以放心下載。
或者使用者可以在“應用管理”裡找到相應的應用,通過“應用許可權”把相應不必要的許可權關閉。
華為終端開放實驗室
2018年9月19日