【PConline 杂谈】近日,安全防护解决方案企业Arxan Technologies发布下载应用程序权限了《应用安全现状(State of Application Security)》年度报告。该报告指出,智能手机用户对应用安全的认识以及软件中实际存在的漏洞数量之间有着极为不平衡的关系。事实上,很多软件并没有用户想像中那么安全。其原因就在于两个字:权限。
在国外可以完整使用谷歌服务(即完整的安卓系统)的情况下尚且如此,就更不用说国内“混乱”的安卓市场了。但是,不能否认国内厂商对于安卓系统的“改造”在很大程度上弥补了谷歌服务缺陷带来的安全性问题。功能齐全的安全中心内置于手机ROM之中给手机安全带来了一定的保证。但是,市场终究是利益为向导,很难保证部分手机厂商对于自家的app(包括战略合作或投资方的app)同其他app一样,有一视同仁的“执法力度”。
尽管如此,也并不意味着消费者只能坐以待毙,等着隐私泄露,安全不在。 事实上,手机软件的安全问题,归根到底是软件获得的权限问题。若是能保证软件规规矩矩的只获取必须的权限,安全必将得到很大程度上的提高。但是,如今的手机软件,轻则获取十几个权限,重则获取几十个权限,数目之多使部分消费者对此非常迷茫,究竟哪些是必要的权限,哪些又是毫无意义的呢?今天,小编就和您聊聊手机软件的权限问题。
一、 为什么手机软件需要权限?
当用户安装完一个app初次使用进入界面之时,一定会跳出各种权限需要,如需要访问通信录、需要访问短信记录、需要启动相机等等。大多时刻消费者会一路点同意,只为快点使用软件。(其实大多数情况是下载应用程序权限我们只能看,不能手动进行干预权限设置)然而,您是否想过手机为什么需要这些权限呢?
首先要说明一下,部分手机权限是软件必须的,需要其激活软件的功能。如微信使用扫描二维码功能时需要启动相机,语音输入时需要启动麦克风。若是无法调动相应权限,软件功能一定会受阻。
其他的权限需求可能就与软件本身利益有关了。 比如部分软件访问消费者的通信记录以及短信记录等,可能不是为了推荐向您告知正在使用同款软件的通信录好友,仅仅是为了读取短信内容,更加有针对性地推送广告而已。甚至更有部分无良开发者为了获取您的隐私,通过软件后台上传进行信息倒卖。
又比如,部分软件会有自动连接网络的权限要求。可能消费者会很奇怪为什么无需联网的游戏要求这样的权限,答案也很简单,为了自动更新软件而进行预下载,或者是免费软件中的广告推送,以上种种情况都需要通过网络获取信息。
当然,关于自启动和常驻后台的权限更是大多安卓手机软件中的常见要求。许多消费者甚至很难看到明文的权限需求通知,但自动启动是实打实发生的。在很大程度上,安卓手机软件的自启动在一定意义上造成了系统的卡顿问题(热启动比冷启动快)。但部分流氓软件进程占用内存空间奇多,常驻后台无法清除。即使拥有再大的内存,也扛不住这类软件的常驻运行。
二、 常用软件的权限需求
说完了手机软件为什么需要权限,我们再来举例看看常用手机软件的详细权限分配。
以某手机输入法为例,其所需的十几个权限中,包括GPS/WiFi联网权限,精确定位权限,拍照录音权限,读取短信记录以及联系人记录等权限。其中, GPS/WiFi权限可用于自动更新词库, 拍照录音权限等可用于设置输入法壁纸以及语音输入等。这些都可以认为是必要权限(当然你也可以按需禁止)。然而,读取短信记录以及联系人记录是真的有意义吗?明面上说,读取联系人记录可以方便输入法快速联想出朋友姓名,方便用户输入。可在实际交谈中,用户又有多少机会直接称呼对方的姓名呢?因此小编觉得输入法读取通信录的意义并不大。至于读取短信记录,输入法终究不是日历应用需要读取会议行程等安排时间,一定意义上可以看成是侵犯隐私了。
再比如某地图软件,其要求的权限有准确的位置信息以及位置信息共享功能、读取联系人等。作为地图类软件要求联网精确定位无可厚非,但是地图类应用要求读取联系人的意义又何在呢?而笔者也只是举个例子,现实中不合理的权限需求多的是。
由此可以看出,禁止一些不必要权限可以防止隐私泄露。但同样的,我们不能禁止软件使用必要的权限。就好比前文提到的微信二维码,若是禁止了其启动相机,则该功能一定会启动失败。因此,明辨什么权限是必要的,什么权限是毫无意义的,对于保护安全来说极为重要。
三、 如何规避权限导致隐私泄露
面对手机软件如此多无理的权限需求,作为用户的我们只能选择性看不见吗?显然不是,那到底我们有什么方法去管理好软件权限,进而保证隐私安全呢?
1.正规的下载渠道
首先最重要的一点就是,一定要在正规软件商店下载应用。无论是手机内置的软件商店还是各大知名的第三方手机软件商店,都可以在很大程度上避免您下载到山寨的,捆绑广告插件的以及带有病毒的应用。当然,即使是正规手机软件商店,未免也良莠不齐。在下载时,应尽量下载热门应用,选取下载次数较多的应用(通常来源于官方),在源头上保证下载软件的安全。
2.安装前适当的权限设置/借助于第三方安全软件
当软件下载到手机并开始运行时,一定要仔细查看软件所需要的权限并选择是否允许获取对应的权限。当然,现在大部分手机ROM都自带权限监控功能,即使您在使用时不慎允许软件获得了隐私权限,也完全可以在安全中心中找到并禁止软件继续获得权限。此外,借助一些第三方安全类软件也是可以的实现这个功能的。
四、 厂家对于权限管理所设的应对方案
事实上,随着手机ROM安全的重要性被不断提高,各手机厂商纷纷开始在手机ROM中内置了安全中心,全方位地保障手机安全。当然,与其被动地查看应用权限,定期扫描病毒等,手机厂商更愿意主动出击。如魅族不仅在Flyme中提供了功能全面的私人管家,更是提供了主动防御功能和智能预警功能,使安全值更高。
当然,也有部分厂商设计了“沙盒模式”。比如手机圈的新军——360,其在360OS中就有沙盒模式。系统只允许用户在特定的商城下载支付软件,且运行时会在手机中构建一个独立的纯净系统,从运行层面上保障软件的安全,也避免了手动设置权限的麻烦。
总结
手机软件安全是一个永远都无法说完的命题。只要无良开发者还存在于市场上,身为消费者就有必要提升十二万分精神去保护自己的手机安全。但是,随着技术的不断进步,手机安全的保障正逐步提高。想必只要您能在使用手机时不偷懒,对权限设置多长个心眼,隐私的保护还是能做好的。当然,我们更应该把希望放在手机软件市场的整体提高上,毕竟,只有当手机软件市场整体变得干净健康之时,消费者才能真正放心。