[原创文章:www.ii77.com]
孟春婷 腾讯公司移动互联法务总监
[原文来自:www.ii77.com]
唐伟 腾讯公司移动互联高级法律顾问
引言
安卓系统自诞生以来就以高度的开放性著称,安卓系统的开放性也帮助安卓系统在短时间内获得了巨大的市场份额。
安卓系统给予应用开发者比较宽松的系统权限获取环境,有效拓展了应用开发的灵活度,打破了一些不必要的局限,但安卓系统在权限管理的开放性也带来了一些安全问题。
一些恶意软件利用安卓系统在权限管理上的开放性通过获取大量非必要权限的方式收集用户个人信息、恶意吸费甚至传播病毒木马。
安卓应用超越必要限度获取系统权限将导致用户个人信息泄露,根据腾讯与DCCI互联网数据中心联合发布的《2017年度网络隐私安全及网络欺诈行为分析报告》显示,2017年下半年,安卓手机应用中有98.5%的应用都要获取用户隐私权限,其中越界获权的情况占比在9%。
媒体对安卓应用恶意获取系统权限多次报道,多地消费者保护..也尝试通过约谈等方式对任意获取非必要权限的情况进行曝光监督。
手机应用“越界获权”已经成为个人信息泄露的主要渠道之一,并由此衍生出规模庞大的网络黑产。
1
安卓获权获取的技术原理
(一)以Manifest文件为基础
安卓应用获取系统权限必须先在应用的AndroidManifest.xml文件中进行声明。Manifest文件位于应用软件根目录下,是安卓应用软件的全局配置文件,描述了安装包中的全局数据。
该文件提供了安卓系统所需要的关于该应用程序的必要信息。
比如:为应用软件指定唯一的名字;描述应用软件所包括的成分,如activities, services, broadcast receivers和content providers等内容;声明应用软件正常运行所需要的权限,如读写SD卡权限等;声明应用程序的安卓API级别,低于该级别的系统不能运行该程序;声明应用程序支持的分辨率等。
为获得保证正常运行的权限,安卓应用软件开发者需要在软件中的AndroidManifest.xml文件中写入确保正常运行和功能实现的所有权限,并向安卓系统进行权限声明。
安卓系统读取到安卓应用软件的AndroidManifest.xml后会按照系统规则向该应用软件开放所有其声明的权限;未向安卓系统声明的权限,安卓系统将不会向该应用软件开放,应用软件的相关功能将会受限。
例如当应用软件需要执行调整屏幕亮度的操作时,则需要在AndroidManifest.xml写入获得调整屏幕亮度的权限声明,否则应用软件中与调整屏幕亮度的代码将不能被执行。
(二)安卓系统权限授权管理的变化
▌1、安卓4.4之前,任意获取模式
在安卓4.4版本之前,安卓系统对应用的授权模式可以概括为:只要在Manifest文件中声明,开发者可以任意获取权限,用户无法对权限进行管理。
应用安装前,安卓系统会根据权限声明展示权限列表,用户查看并同意该权限列表后完成安装。安装完成后,该应用软件就可以成功获得所声明的全部权限。
安卓系统并不对权限进行分类,也不对应用软件开发者、应用软件获取权限的必要性进行审查。用户在安装过程中只能选择接受该应用声明的全部权限,否则就不能继续安装。
▌2、安卓4.4版本,隐藏的权限管理模式
在安卓4.4版本中,谷歌依旧保持了应用软件在安装时可以任意获取权限的做法。但是,在安卓系统中增加了权限管理的功能,只是该功能处于隐藏状态,需要用户安装App Permission才能进行管理。
国内的部分厂商在定制自己的安卓系统的过程中将该功能加入到系统设置中。用户可以在用户设置中对应用软件进行权限管理,关闭不需要的应用权限。
▌3、安卓5.0版本,明确的管理模式
在安卓5.0版本中,安卓系统增加了在应用安装过程中对应用软件的权限进行选择的功能。在应用安装环节,系统会弹出一个可勾选的权限设置项,用户可以根据需要关闭应用默认获取的权限。用户选择取消的权限,应用软件将不会获取。
▌4、安卓6.0版本,对权限进行分类管理的模式
由于安卓6.0之前的安卓系统存在“越界获权”的问题,为了更好地保护用户隐私,谷歌公司在安卓6.0版本中提出了新的权限管理机制,将权限分为两大类:
安卓系统对危险权限进行了归类,并分为不同的权限组(Permission Group)。如果应用软件获取了权限组中某一个权限,则整个权限组下的权限均被授权,应用软件可以直接调用该权限组的权限并实施相应行为。安卓6.0版本中的危险权限分类如下:
▌5、安卓6.0之后,进一步强化权限的授权要求
在安卓6.0版本中,应用获得权限组中某一个权限后可以获得整组的权限,范围仍较广。
在安卓8.0版本中,安卓系统对此进行了调整,安卓系统将只向明确请求获取的权限进行授权,但对同一权限组中且明确向系统声明的权限都将被自动授权,不再额外提示;若没有请求相应的权限,该权限对应的操作将会失效。
谷歌公司表示,在安卓9.0版本中会细化权限保护,针对设备传感器权限、从Wi-Fi扫描中获取位置信息以及获取电话状态等相关权限规则进行调整,以便更好地保障用户隐私。
明星股东还能拯救影视公司的业绩吗?
9月27日美元大涨,创近七周来最大单日涨幅!
11月14-15日,相约上海!
【EV视界小王说】 9月25日晚,东风日产轩逸·纯电在三亚正式上市,新车分为2款车型,补贴后售价分别
本期拆车坊底盘解析请来了一台雷克萨斯RX300 F,它的售价超过了50万,这台车是2015年9月份的车,是九州宫田工厂生产的,目前的行驶里程到了4万公里。那么接下来我们来看看这台行驶
装修最怕被忽悠,很多人在装修前会拼命补知识层面上的装修细节,但即便如此,和装修师傅比起来仍是不专业的,所以倒不如在选择技巧上做功课,事半功倍。今天小编准备了超实
13家房企超千亿,TOP100门槛升至151.9亿元。
早上好 再长的路,一步步也能走完, 再短的路,不迈开双脚也无法到达。 新闻 ▪连日来,西安长安区子午街办共拆除违建47宗,拆除建筑面积25564平米,违建项目基本拆除完毕,覆土
危机四伏之下,管理层仍不忘善待自己,又是减持又是加薪。
为你揭晓答案
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!