полезные статьи

Зачем этому Android-приложению столько разрешений?

Уважаемый Goldavelez.com,

На прошлой неделе я читал вашу статью о разрешениях Chrome, но хочу узнать о разрешениях для приложений Android. Кажется, что каждый разработчик приложения хочет получить доступ к так много на моем телефоне! Им действительно нужны все эти разрешения, или они просто собирают мои данные?

С уважением,

Параноидальный Android

Уважаемый Paranoid Android,

Разрешения Android являются одновременно лучшим другом и худшим врагом разработчика Android. Некоторые из лучших приложений, доступных даже от известных разработчиков приложений и компаний, все еще нуждаются в довольно глубоких разрешениях для выполнения основных задач. С другой стороны, спор вокруг вредоносного ПО для Android определенно делает этот длинный список разрешений перед установкой нового приложения пугающим опытом. Посмотрим, сможем ли мы успокоиться.

Прочитайте список разрешений и привяжите его к функциям приложения.

Каждый раз, когда вы устанавливаете приложение в Android, вы получаете список разрешений, необходимых для работы приложения. Если вы не просматриваете этот список до того, как нажмете «Установить», начните прямо сейчас - вы лучше поймете, какая информация действительно нужна приложению и к каким функциям вашего устройства оно имеет доступ, просто прочитав этот список. Соблазнительно просто пропустить это, но сопротивляйтесь: вы должны хотя бы просмотреть их, чтобы быть в курсе.

Первое, что нужно понять, это то, что на самом деле означают все те разрешения, которые вы соглашаетесь предоставить приложению при его установке. Некоторые приложения запрашивают тонны только для работы (Facebook, Google+, Gmail и т. Д.), В то время как другие просят относительно немного. В этой теме на форумах Android отлично объясняется, как работают разрешения и что делает каждый тип, и приводятся примеры того, что означает каждый тип разрешений. Это хорошее чтение, но, в конечном счете, менее важно понимать, что означает каждый тип разрешений, поскольку вы понимаете, что приложение запрашивает его при установке или обновлении. Обязательно прочитайте список разрешений и постарайтесь соотнести каждое из них с какой-либо функцией или функцией приложения. Если вы можете разумно связать разрешения приложения с функцией (например, с приложением SMS, которое должно читать SMS-сообщения, или с приложением для идентификации вызывающего абонента, которому необходим доступ к «чтению состояния и личности телефона»), то беспокоиться не о чем. Посмотрим правде в глаза: в большинстве случаев приложение запрашивает разрешения, потому что это так.

Единственным заметным исключением из этого правила являются приложения, которым требуется root. Когда вы рутируете свой телефон Android, вы предоставляете себе этот уровень доступа к внутренней работе операционной системы вашего телефона. Когда приложение выдает запрос суперпользователя и запрашивает root, вы должны серьезно задуматься о том, нужно ли это приложению. Приложения, такие как ROM Manager и Titanium Backup, нуждаются в root, потому что они выполняют задачи системного уровня на вашем телефоне. Однако, если приложение часов или даже новая программа запуска приложений запрашивают root, убедитесь, что понимаете, зачем оно нужно, прежде чем нажимать «Разрешить». Если нет, не делай этого.

Остерегайтесь приложений, которые объединяют разрешения без причины

Я поговорил с Пратиком Шриваставой, студентом CS и разработчиком Android, о том, что означают все эти разрешения и являются ли они опасными по своей природе. Он объяснил, что большинство разрешений одни безвредны:

«Даже само по себе, разрешение на Интернет не может многое сделать - и, вероятно, оно требуется большинству приложений для показа рекламы. На самом деле следует обратить внимание на приложения, которые комбинируют разрешения волей-неволей. Например, если у вас была реклама. поддерживаемое приложение для просмотра файлов, запрашивающее разрешения на чтение вашего хранилища и доступ к Интернету для показа рекламы - нет способа помешать приложению просто публиковать ваши данные в файловых системах вашего телефона (включая снимки с камеры) в Интернете ».

Это правда, что даже приложения, которые, кажется, имеют законное использование для нескольких разрешений, могут быть опасными. MakeUseOf объясняет некоторые типы разрешений, на которые вы должны обратить внимание, особенно когда они объединены в одном приложении, как это делает Мэтью Петтитт в этой замечательной статье. Легко испугаться, когда вы видите, сколько информации запрашивают многие приложения - даже приложения из надежных источников - но вы должны задать себе эти вопросы, когда увидите эти длинные списки разрешений:

  • Это приложение от надежного разработчика? Это похоже на вредоносное ПО?
  • Я понимаю, зачем этому приложению нужны эти разрешения?
  • Разработчик объясняет мне, зачем им нужны эти разрешения? (Они перечислены в Google Play вместе с причинами каждого запроса на разрешение? Часто они есть.)

Если ответ на все три вопроса - да, вы в хорошей форме. Если вы начнете отвечать «нет», вам следует подумать, действительно ли вам нужно данное приложение. Даже приложения от заслуживающих доверия разработчиков могут собирать большое количество данных, либо в рекламных и маркетинговых целях, либо потому, что кто-то облажался. Если у вас есть приложение от разработчика, о котором вы никогда не слышали, и оно не объясняет, зачем ему нужны соответствующие разрешения, держитесь подальше, если вы не понимаете, что разрешения необходимы для того типа приложения, которым оно является.

Поощряйте разработчиков объяснять свои потребности в разрешениях в Google Play

Глядя на приложение, требующее тонны разрешений, может быть страшно, но обязательно просмотрите список приложений в Google Play, прежде чем делать поспешные выводы. Как мы упоминали выше, если разработчик объясняет, почему для его приложения требуется каждое разрешение, вам не о чем беспокоиться, если только вы не думаете, что приложение делает что-то другое за кулисами, и если это так, вы вероятно, люди видят это в обзорах приложений.

Проверьте описание приложения в Google Play, чтобы увидеть, не перечислил ли разработчик разрешения в нижней части списка функций. Все больше и больше разработчиков делают это, отчасти потому, что они знают, что нужно для борьбы с паранойей, но также и для того, чтобы быть прозрачными в том, какая информация нужна их приложению от вас. Даже если они не будут перечислены в Google Play, вы часто найдете больше информации на веб-сайте разработчика. Например, менеджер дел Any.DO запрашивает довольно пугающие разрешения, но один взгляд на их часто задаваемые вопросы по Android должен успокоить ваши страхи.

Если вы не видите разрешения, описанные в Google Play или на веб-сайте разработчика, отправьте их по электронной почте и спросите. Многие приложения в Google Play имеют ссылку «Посетить веб-сайт разработчика» или ссылку «Политика конфиденциальности», которая предоставит вам дополнительную информацию. Даже если они этого не делают, у них обязательно должна быть ссылка «разработчик электронной почты», которую вы можете использовать, чтобы оставить им строку и спросить, почему их приложению требуются те разрешения, которые оно имеет. Предложите им добавить эту информацию на страницу своего приложения в Google Play. Пратик объясняет:

«Для разработчиков Google сам рекомендует вам запрашивать как можно меньше разрешений. Разработчики также ленивы - например, большинство разработчиков просто запрашивают информацию вашей учетной записи пользователя, чтобы идентифицировать пользователя уникально по его адресу электронной почты или номеру телефона (это может быть по многим причинам). - возможно, проверка на стороне сервера, что приложение не было пиратским.) Лучший способ сделать это изложен здесь (без какой-либо личной информации). "

Это еще одна причина, по которой разработчики должны быть прозрачными в отношении запрашиваемых ими разрешений, сказал он, и почему пользователи должны быть осторожными, а не параноиками, и бросать вызов разработчикам, когда они не знают, зачем приложению нужны разрешения, которые оно делает.

Мониторинг и настройка разрешений приложений самостоятельно

Если вы действительно хотите установить приложение с сомнительными разрешениями или приложение с разрешениями, которые вы просто не понимаете (или не считаете необходимыми для работы приложения), есть приложения, которые могут помочь. Некоторые будут мешать навязчивым приложениям получать нужные данные, другие будут просто следить за приложениями, которые вы устанавливаете, чтобы увидеть, делают ли они что-то подозрительное. Например:

  • Защита конфиденциальности PDroid (требуется root) - это ранее упомянутое приложение, которое следит за типами информации, запрашиваемой вашими приложениями, и позволяет вам разрешать или запрещать ее для каждого отдельного приложения. Вы можете заблокировать доступ к личной или идентификационной информации для каждого приложения, которое вы установили, и это не нарушит работу приложения.
  • LBE Privacy Guard (требуется root) действует как брандмауэр на базе Android для приложений, уведомляя вас о том, что приложение пытается получить доступ к данным, и дает вам возможность разрешить или запретить его. Ключевым моментом является то, что если вы отрицаете что-то, что должно работать в приложении, оно может очень хорошо рухнуть, поэтому вам придется подумать, прежде чем нажать. Имейте в виду, что людям понравилась старая версия, и новая версия также не была принята в Google Play, поэтому ваш пробег может отличаться.
  • PermissionDog - еще одно приложение, которое мы любим, потому что оно показывает, насколько опасны ваши установленные приложения. Вы можете сказать, просто прокручивая список, какие из них в порядке, и на какие следует обратить более пристальное внимание. Тем не менее, вам все равно придется исследовать: например, поскольку для Google Voice требуется доступ к состоянию телефона, идентификация, SMS, сон / пробуждение и другие разрешения, он помечен как опасный. Это правильная классификация, но Google Voice проходит тест на запах.
  • Pocket Permissions - это полное руководство по разрешениям приложений. Это полезно для начинающих пользователей Android или всех, кто интересуется этой темой и хочет получить более подробную информацию о том, что конкретно означает каждый тип разрешений, и какие данные доступны, когда это разрешение предоставлено. Вы можете использовать приложение, чтобы исследовать разрешения и понять, почему они нужны другим приложениям, выполнить поиск по разрешению, чтобы узнать, какие приложения запрашивают его, отсортировать по степени риска или важности и многое другое. Это 2 доллара, но это достойное руководство.

Исследования перед тобой Паника

Нет причин злиться каждый раз, когда вы находите приложение, для которого требуется большое количество разрешений. Во многих случаях проблема может заключаться просто в том, что вы не понимаете, зачем приложению нужны те разрешения, которые ему нужны - это может быть какая-то зависимость в Android, которую разработчик должен был выполнить, чтобы приложение работало. Это может быть функция в приложении, которую вы не совсем понимаете. Прежде чем вылететь из-под контроля и обвинить разработчика в краже ваших данных, проверьте Google Play или спросите их напрямую. Если это кажется слишком большим усилием, просто не устанавливайте приложение и найдите альтернативу, которая более прозрачна.

«В конце концов, как пользователь, вы действительно должны доверять разработчику в том, что они делают с разрешениями. Вы можете сделать хорошее обоснованное предположение, но это все. Как разработчик, вы должны быть прозрачны в отношении того, что и почему вам нужны все разрешения. Например, если вам нужно собирать аналитику о вашем приложении и публиковать результаты на сервере, вам нужно разрешение на доступ в Интернет. Но если ваше приложение - просто приложение с часами - пользователи будут смущены, почему вы есть интернет-разрешение. "

Удачи,

Goldavelez.com