認識Android應用程式權限 避免誤墮保安陷阱

面對惡意程式的挑戰,Android系統透過「權限系統」形成很好的防禦機制,這個系統定義應用程式許可及禁止的行為。Android的應用程式預設所有應用程式在被隔離的「沙盒」環境中運行,如果企圖存取、更改或刪除沙盒以外的資料,便需要系統權限才能執行。因此,用戶賦予的權限直接影響到裝置的安全,想避免自己「大開中門」讓惡意程式有機可乘,可以先從瞭解程式權限的運作方法開始。
android-app-permissions-featured-en

認識基本權限系統
Android系統內的權限被分為多個種類,以下我們只會談及較關鍵的「普通」和「危險」兩類。「普通」權限包括了一般連接互聯網、產生Icon、藍芽接駁等功能,這類權限預設開放,應用程式無需取得用戶的額外准許。如果應用程式需要「危險」類的權限,便需要得到用戶的確定,所以在看見系統確定訊息時,謹記三思而後行。

危險權限種類
「危險」類的權限包括9個應用程式連接到用戶個人私隱或保安的組別,每個組別內裡也有複數權限應用程式需要取得確定,如果用戶許可一個權限,該應用程式便會自動取得該組別內所有權限而無需額外通知。例如:應用程式取得讀取SMS訊息的權限,該程式也可以傳送SMS和讀取MMS訊息,又或者其他相同組別內的活動。

行事曆
許可權:讀取儲存在行事曆內的活動、更改舊活動和增加新活動
危險:如果倚賴電子行事曆,該應用程式便會知道用戶日常的一舉一動,並把資料傳送給犯罪份子。此外,有漏洞的應用程式可能意外地刪除行事曆上的重要約會。

照相機
許可權:使用照相機拍攝或錄影
危險:可以隨時偷偷地拍照或錄像而用戶不知道

聯絡人
許可權:讀取聯絡人資料、更改或新增聯絡人、讀取帳號清單
危險:可以讀取整個通訊錄,黑客對這些資料十分感興趣,同時也可以取得裝置上使用該帳號的應用程式清單,例如:Google、Facebook和Instagram等等。

位置
許可權:以手機訊號和Wi-Fi熱點讀取用戶的大約位置、以GPS資料讀取用戶的正確位置
危險:應用程式全程知道用戶的位置,例如:讓竊匪知道用戶離已離開家門。

咪高峰
許可權:使用咪高峰記錄聲音
危險:可以記錄用戶身邊的所有聲音,包括對話,並不限於在電話上通訊。

電話
許可權:讀取電話狀態,讓應用程式知道用戶的電話號碼和網絡資訊、打出電話、讀取來電資料、更改通話清單、新增語音電郵、使用VoIP、處理來電,包括查看來電號碼、掛線或轉駁到其他號碼。
危險:此權限讓應用程式取得接近所有聲音通訊功能,並且可以自由致電任何人,包括付費通訊。

身體感應器
許可權:容許應用程式從其他感應器上讀取用戶的健康資料
危險:應用程式取得用戶的身體健康資料

SMS
許可權:發出SMS、讀取已儲存的SMS、收取SMS、收取WAP訊息和收取MMS訊息
危險:讓應用程式讀取和發出SMS短訊,費用由用戶支付,網絡罪犯可以用受害人的電話號碼登記不想要的付費服務。

儲存
許可權:讀取SD卡或內置儲存、在內置儲存或SD卡內存放資料
危險:應用程式可以讀取、更改和刪除裝置上的任何檔案。

設置應用程式權限
用戶應該小心考慮授權的選擇,例如:如果照片加工應用程式需要存取用戶的位置,可能就有古怪,同樣地,地圖或定位應用程式需要GPS資料,但不需要接觸到通訊錄和SMS訊息。在Android 6或以後的系統,應用程式在需要取得權限時便會向用戶發出確定訊息,用戶可以拒絕其要求,當然,如果該應用程式真的需要該權限,便可能會出現錯誤訊息和無法正常運作。

特別存取權
除了「危險」的權限,應用程式還可以要求特別存取權限,遇到這種情況用戶就要特別謹慎,因為木馬程式經常要求此權限。

輔助功能
此權限為視障或聽障人士簡化了裝置和應用程式的操作,有時也會被惡意程式加以利用,因為只要取得此權限,木馬程式便能從其他應手程式上攔截資料,例如用戶輸入的密碼,此外,惡意程式也可以在Google Play Store上進行購物。

預設SMS程式
銀行木馬病毒目標是成為預設的SMS應用程式,使他們能夠讀取SMS短訊和加以隱藏,藉此攔截銀行透過SMS發出的密碼,並確定惡意的轉帳而不驚動用戶。

一直置頂
本權限讓其他應用程式的畫面被木馬程式顯示的偽裝置面所覆蓋,如果用戶以為他們在真正的登入畫面而輸入密碼,資料便會被記錄和傳到黑客手上。

裝置管理員權限
此權限容許用戶更改密碼、鎖上相機和刪除裝置上所有資料,惡意程式經常嘗試取得這項權限,而且具有此權限的惡意程式難以移除。

深層權限
這是最危險的權限,預設情況下,Android系統永不授予權限給應用程式,但是部份木馬病毒透過系統漏洞而取得。如果發生此情況,其他所有防禦措施都變得無用,惡意程式可以憑此權限為所欲為,無論用戶是否容許。

結論:瞭解應用程式的用途
用戶想保護自己,便不應該讓應用程式在自己的裝置上為所欲為,尤其在沒有原因的情況下要求取得危險的權限。部份應用程式真的需要很多權限,例如防毒軟件需要很多權限去掃瞄系統和主動保護裝置,所以用戶應該瞭解應用程式的功能與真正需要再作出決定,如果有不清楚的地方,建議從互聯網上尋找相關的資料。