Google Play新措施:數據安全而不是應用權限

Google Play應用程式的描述出現了新的數據安全項目,從7月20日起所有開發者在官方平台上發行應用程式,都要詳述收集甚麼數據和怎樣運用,然而這並非一面倒的好消息,以下為大家講解當中原因。

變動內容

Google在今年4月加入新功能讓開發指詳述收集甚麼數據和有甚麼作用,然後在今年7月20日開始中選擇成變成強制,開發者不加入該內容將會被從官方平台上移除。有關的數據安全描述看起來像下圖一般,可以看到一系列收集的數據,這積極的改變發生在Apple類似舉動之後,以前Google容許用戶檢查應用程式請求的權限,評估應用程式對個人數據的興趣。

有時候,應用程式需要權限才能正常運作,例如用戶可以讓電郵應用程式存取通訊錄,但並非必需,而且大部份賦予的權限都能隨時收回,只不過部份功能可能受影響而已。而在7月13日,新規則正式實施之前有人在Twitter發貼指出細小但明顯的改變,新數據安全部份加入到應用程式描述,但權限清單卻同時被移除了,此舉對提升安全有爭議的餘地。

數據安全不能取代應用權限

當然,新的描述部份能幫助用戶決定是否安裝應用程式,例如:有一個簡單的工具想要你的名稱、電郵地址和存取相片,找另一個功能相同但沒有要求的替代品絕對正常。然而,數據安全和應用權限並非完全相同的東西,前者帶了出問題「將會收集甚麼數據?」,後者指出數據的來源,這對評估這些數據收集對你有幾重要,例如從應用程式本身收集朋友通訊錄,還是從電話的聯絡清單人取得,兩者分別相當大。

而更重要的是,權限的部份是根據應用程式的實際功能而自動呈現,相反數據安全則由開發者人手輸入,如果所有人都正直如實填寫,當然沒冇開題出現,不過現實並非如此美好。

應對方法

數據安全部份的出現是為了讓用戶獲得更多關於應用程式和私隱的更多資訊,不過與此同時Google卻減少了評估的資訊,幸好消失只限於在Google Play平台,賦予權限的機制仍然健在,用戶依然可以容許或禁止應用程式存取某些操作系統內的資料源,例如:相機、地理位置和通訊錄等等。

因此我們建議兩個步驟評估Android上的潛在風險,首先仔細看清數據安全部份,應用程式將收集甚麼你的數據,如果覺得可以,便安裝應用程式,然後再在安裝之後檢查它需要甚麼權限,如果有覺得不對勁的地方,不要容許它收集任何數據,或收回已經賦予的權限。

不過以上做法無決解決Google Play上惡意程式的威脅,所以仍然建議安裝可靠的保安方案到Andorid智能手機之上。

資料來源:Kaspersky Blog