English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
权限调查:一个应用程序究竟需要多少权限?
文章来源:黑客视界  作者:  发布时间:2018-08-20  浏览次数:568

如今大众普通智能手机上平均有60到90个应用。这些应用程序中的大多数都会请求获取用户的设备的某些信息。他们可能想知道你的姓名,电子邮件地址或真实地址。但是,由于智能手机功能如此强大,它们也能获得更多功能,例如你的确切位置。有些应用甚至会请求设备相机或麦克风的访问权。

虽然所有这些都是在用户“同意”的情况下完成的,但你仍然可能会对某些应用的个人数据访问权限感到惊讶。据赛门铁克调查,45%最受欢迎的Android应用和25%最受欢迎的iOS应用都请求跟踪实时位置,46%的流行Android应用程序和25%的流行iOS应用程序请求获取访问设备相机的权限,有些Android应用甚至会要求用户授权他们访问您的短信和电话记录。

为了找出应用可能需要的数据类型,赛门铁克将最受欢迎的应用数据用于测试。他们下载并分析了2018年5月3日在谷歌应用商店和苹果应用商店上列出的排名前100的免费应用程序。研究人员针对各应用程序展开的调查主要围绕两个核心问题:用户与应用程序共享了多少个人信息,以及应用程序访问了哪些智能手机功能?

个人信息

首先得到的是应用程序请求用户与他们共享的个人身份信息(PII)的数量。电子邮件地址是与应用共享的最常见的PII部分,这部分信息与48%的iOS应用和44%的Android应用分享。PII的下一个最常见的部分是用户名(通常是某人的全名,因为他们已经在社交网站或应用程序中输入了该用户名),这些用户与33%的iOS应用和30%的Android应用共享。与此同时,电话号码与12%的iOS应用和9%的Android应用共享。最后,用户的地址与4%的iOS应用和5%的Android应用共享。

然而,这些统计信息并未完全考虑与应用共享的全部PII数量。

多个应用程序与社交媒体集成,以便用户可以使用他们的社交媒体帐户登录应用程序,并允许该应用程序直接发布到社交网站。对于用户而言,这意味着他们不需要为每个应用程序管理密码,可以邀请朋友玩手机游戏,以及在他们的时间线上共享应用信息。

但这种共生关系还允许应用程序从社交媒体帐户收集用户数据,同时还允许社交媒体服务从应用程序收集数据。对于使用社交媒体集成的iOS应用程序,我们能够看到正在共享的PII。但是,Android应用程序却并非如此。这是因为这些应用程序都使用了Facebook广泛使用的图形应用程序编程接口(API),而Android版本的图形使用的是证书固定,这使得我们无法看到正在共享的PII。

因此,当我们说电子邮件地址与44%的Android应用程序共享时,这个实际数字可能更高,因为一些Android应用程序使用Facebook Graph API,这也可能与他们共享一个电子邮件地址。

Facebook Graph可能对部分人来说很熟悉,因为剑桥分析公司使用它来编译与8700万Facebook用户相关的个人信息。据报道,这些信息随后用于2016年美国总统竞选期间面向选民的有针对性的社交媒体活动。Facebook通过大幅收紧其API并限制可通过它共享的个人信息量来应对此事件。

虽然Facebook Graph可能是最知名的集成服务,但它并不是使用最广泛的。在赛门铁克分析的应用程序中,47%的Android应用程序和29%的iOS应用程序提供了谷歌集成服务,而41%的Android应用程序和26%的iOS应用程序提供了Facebook Graph API服务。

风险权限

除个人信息外,应用还需要获得访问移动设备上各种功能的权限。

应用可以请求大量权限,但并非所有权限都相同。出于这个原因,研究人员仔细研究了我们所说的“风险权限”——可以提供对涉及用户私人信息的数据或资源的访问权限,或者可能潜在地影响用户的存储数据或其他应用程序操作的权限。风险权限的示例包括访问用户的位置,联系人,SMS消息,电话日志,相机或日历。

研究者发现摄像头访问是最常请求的常见风险授权,46%的Android应用程序和25%的iOS应用程序均发出了获取请求。紧随其后的是位置跟踪,45%的Android应用程序和25%的iOS应用程序都在索求该权限。百分之二十五的Android应用程序请求录制音频的权限,而9%的iOS应用程序执行此操作。最后,15%的Android应用程序寻求读取短信的权限,10%的人试图访问电话通话记录。这些权限都不适用于iOS。

有趣的是,在同时分析安卓和iOS版本应用程序的情况下,一些安卓应用程序要求的权限比iOS版本更危险。7个Android应用程序请求访问SMS消息,而iOS版本则没有。一个Android应用程序请求访问电话通话记录,而iOS版本没有。虽然这两个权限在iOS中都不可用,但它确实提出了一个问题:为什么Android版本需要这些权限,而iOS版本可以不需要它们。

在谈论风险权限时我们应该强调两件事。首先,它们需要用户的许可才能访问此数据。其次,仅仅因为我们称他们有风险的权限并不意味着他们不应该被授予。如前所述,通常有需要它们存在的原因。相反,他们应该被视为权限,用户应该更加谨慎地授予,询问自己该应用是否确实需要此权限,以及他们是否愿意将其授予此特定应用。例如,你是否真的想让应用访问您的通话和短信只是为了提供个性化提醒?

                                                                                                                                                                       


扫一扫或点击进入“上海奥航智能科技有限公司”官网:www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”:cn-mobi.com              

免责声明:本文仅代表作者个人观点,与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司