Android 系統每個新版本都更加安全,但是裝置上記錄的所有資料或功能,只取得相關權限,任何人都能夠存取或使用,不少合法的 Android 的應用程式 (或惡意程式) 都利用這項設定,有意或無意間要求取得必需以外的權限,所以用戶加深瞭解功能權限及其影響,有助分辨 App 是否如描述般合法地運作。
常用 App 權限列表
以下的權限讓 App 能夠存取在智能手機上的個人資料 (通訊錄、通話紀錄、SMS、照片等等),又或者使用裝置上的功能 (相機、麥克風、電話、GPS等等),讓 App 取得權限即是讓它能自由使用相關攻能,所以當 App 要求取得權限時,用戶應該三思,要求的權限是否 App 所需要使用的功能。以下的 App 權限列表將會列出權限及相關的潛在風險。
SMS:權限容許發送和接收 SMS、MMS 和 WAP 推送訊息,也容許觀看手機記憶體內的訊息。這意味著網上銀行發出的一次性確定碼也能夠被讀取,而且此權限也可以用作以用戶的名稱濫發訊息,或者登記收費「服務」。
日曆:容許在觀看、刪除、修改和新增日程。用戶的一舉一動都一覽無遺,是間諜程式最喜愛的權限。
照相機:容許應用程式使用照相機進行拍照或錄影。應用程式能夠在不通知用戶的情況下拍照或錄像,用戶的日常活動都隨時被拍攝記錄。
通訊錄:可以讀取、變更和新增通訊錄內的聯絡資訊,並存取記錄在手機內的帳號。權限容許應用程式把用戶整個通訊錄上傳至其伺服器,部份合法的服務也會濫用這項權限,更是騙徒或濫發者的最愛,此權限也可以存取 Google、Facebook或其他服務的帳號。
位置:取得用戶當時的位置,令用戶有機會被追蹤,間接增加裝置的電量消耗。
麥克風:容許使用裝置內置的麥克風進行錄音,應用程式可以手機附近的所有聲音,包括電話對話和面對面的交談。
身體感應器:存取健康感應器的資料,例如心跳感應器。此權限能夠監察用戶的身體數據 (例如從智能手環),這類型的數據最受保健公司歡迎,可以用作評估保險費之用。
儲存:讀寫檔案到手機的共享記憶體上,在 Android 裝置上每個應用程式自己限定存取的空間很有限,而餘下的儲存空間都能夠透過此權限進行存取。此權限能讀取手機中大部份檔案,包括私人的相片,並把它上存至伺服器,或者進行加密勒索之用,近日的 Man-in-the-Disk 攻擊也需要此權限。
電話:容許觀看和修改通話紀錄,取得用戶的電話號碼、流動網絡數據和電話打出資料、新增語音訊息、存取 IP 電話服務,取得致電的電話號話、掛線、來電轉接或致電任何號碼。此權限能讓應用程式使用所有語音通訊功能,干擾用戶通話,或致電收費電話令用戶有金錢損失。
特殊權限
電池優化:新版本的 Android 容許應用程式在背景模式運作 (音樂播放、健體應用程式、防毒軟件等等),原意是節省耗電。不過間諜程式也很需要在背景模式操作,所以這是重要的權限之一。
裝置管理應用程式:此權限容許應用程式使用遠端管理功能,原意是開啟企業 IT 服務從遠距離正確設定員工的手機。應用程式只要取得此權限,可以更改手機的密碼、強行鎖上螢幕、關閉相機甚至刪除所有資料,此外,擁有此權限的應用程式變得難以移除,惡意程式最愛以此功能入侵系統。
請勿打擾:最新版本的 Android 設有請勿打擾功能,可以關閉語音通話、訊息音效、震動和隱藏彈出式提示,更可以預設這模式的啟動時間和設定例外名單而不受請勿打擾模式影響。惡意程式可以啟動請勿打擾模式讓用戶錯過重要的通話和訊息,例如隱藏銀行的可疑交易通知。
在其他應用程式上顯示:此權限容許應用程式在其他應用程式上顯示自己的視容,惡意程式以此權限隱藏重要的警告訊息,或顯示偽裝的表格盜取信用卡和密碼等資料。
VR 助手服務:這權限讓應用程式存取 VR 應用程式和裝置,或當用戶打開 VR 應用程式時在背景中運作。雖然看起來沒有危險,但它同樣具備背景運作的權限,有可能被惡意程式利用。
更改系統設定:Android 分為 common 和 global 兩種系統設定,其中 global 設定較為危險,可以設定亮度、聲音,而此權限只容設更改 common 設定。此權限的影響較為騷擾性,破壞力比較低。
通知:這權限負責處理通知,例如 Google 的穿戴裝置需要此權限把通知轉發到智能手錶,也被智能家取系統所採用。這權限接觸到大量訊息 (SMS和即時訊息),間諜或木馬程式可以藉此取得相關的訊息。
畫中畫:這權限讓應用程式在螢幕右下角顯示視窗而覆蓋其他應用程式,潛在危險與在其他應用程式上顯示的權限一樣,畫中畫功能應該只給予可信的應用程式。
付費 SMS:Google 列出世界各部一些收費 SMS 服務的號碼清單,如果應用程式嘗試向清單上的號碼發送 SMS,系統將會向用戶索取權限。不少惡意程式以登記付費 SMS 圖利,儘管無法知道 Google 的清單有多詳細,但此權限絕對需要小心處理。
無限制數據:為了節省流動數據用量和電池消耗,Android 容許用戶設定哪個應用程式能夠在背景模式使用流動數據。當用戶啟動節省數據模式時,大部份應用程式都會被禁止在背景使用流動數據。此權限通常被通訊、電郵或社交應用程式所使用,無關的應用程式要求此權限時便要格外留神。
使用:這權限容許應用程式存取裝置上的元數據,包括使用的應用程式和頻繁程度、裝置語言等數料。不法份子能藉此權限瀏覽用戶的私隱,也有利進行監視工作。
安裝不明應用程式:與從不明來源安裝的相同權限,在 Android 8 上設定較為複雜,用戶可以對個別應用程式進行選擇。不法的應用程式最需要此權限,因為它們通常透過被入侵的網站進行傳播,儘管 Google Play 上偶爾有漏網之魚,但相比仍然安全得多。
個別設定權限
存取:非常強力的權限,容許應用程式讀出螢幕上的影示、或執行用戶的語音指令,目的是讓視力受損的用戶更容易使用。應用程式擁有此權限可以存取所有正在使用中的應用程式,容易被用作諜間程式加以利用。
預設應用程式:一系列的權限預設成智能手機功能所使用 (助手或語音輸入、瀏覽器、電話、SMS應用程式等等),尤其受銀行木馬程式所歡迎,成為預設 SMS 應用程式可以隱藏來自銀行的通知訊息,令用戶難以察覺帳戶的異動。
Root 權限:智能手機上的超級權限,擁有此權限可以更改設定、存取任何檔案 (包括系統檔案)、從任何來源安裝或刪除應用程式、安裝任何韌體等等。應用程式取得此超級權限,在進行不法的惡意行為時就如處添翼。
總結
Android 8 讓用戶可以更其彈性地設定權限,想保護自己的個人私隱與財產,用戶可能要在這方面多花一點時間。另外,用戶當面對應用程式索取權限時,不妨想清楚要求的權限是否應用程式描術的功能所必需要權限,也需要考慮應用程式的來源及其本身的可信性,三思而後行,謹記當用戶不容許 (或不使用) 對之有猶豫的應用程式,用戶也並不會因此而導致金錢損失。