「在行动」我们将携手主流应用为你带来这项改进
相信很多安卓用户都有这样的体验,安装应用的时候各种权限申请让自己眼花缭乱,不耐心的可能一股脑都点同意了,耐心的可能会一项一项看,拒绝一些敏感权限,比如位置信息,读取联系人之类的,避免自己的隐私被泄露。随着安卓绿色联盟应用体验标准2.0的发布,用户的这个烦恼将会得到改善。
近日,华为终端开放实验室针对当下消费者最关注的个人隐私和权限问题对国内千款主流应用进行了摸底测试。
测试结果表明:在TOP1000应用中,超半数应用存在不合理获取隐私权限的行为,需要开发者尽快完成整改。
下文就此测试结果进行详细解读。
在此之前,我们先了解下应用权限的类别:
一、应用权限解读
Android系统权限分为3个保护级别:
- 正常权限:涉及用户隐私的风险比较小,通常系统会自动向应用授予该权限。例如,设置时区的权限就是正常权限。
-
危险权限:一般是涉及到用户隐私的权限,如果应用想申请使用这些危险权限,就要给用户发弹窗提醒。例如,读取用户的联系人、照相、位置等都属于危险权限。危险权限共分10组,如下图:
image - 特殊权限:有许多权限其行为方式与正常权限及危险权限都不同。对隐私泄露、设备控制有重大风险。
注意:危险权限是权限组概念,也就是说权限组的任何一个权限被授权了,该组其他权限也自动被授权。
二、应用权限最小化的解读
根据《安卓绿色联盟应用体验标准2.0—安全篇》中的定义,以下是对应用权限最小化的最新解读:
1、原文:不申请不需要使用的权限,为自定义权限设置合理的安全保护级别;
解读:申请权限满足最小化原则,申请的权限全部为应用功能所需,不申请多余的权限;应用自定义权限,自行根据数据和行为的安全敏感度,设置合理的安全保护级别。
2、原文:应用申请的权限,都必须有明确、合理的功能和使用场景;
解读:使用权限满足最小化原则,只有使用应用的某个功能,而对应到的某个权限为该功能和合理要求时,才允许使用相应权限。比如某聊天软件,必须在进行视频聊天、拍照等功能需要的场景下,才允许使用摄像头,而在其附属的新闻浏览功能中,不允许使用摄像头。
三、应用权限获取测试分析报告解读
1、测试环境及方法
华为终端开放实验室通过DevEco的安全检测能力对TOP1000应用进行权限测试。方法如下:
Step1、应用类别所对应的合理权限测试:根据应用类别判定应用申请权限的合理性。
Step2、应用类别所对应的不合理权限复核:根据开发者提供的对应权限使用功能场景界面截图,进行合理性补充审核。
2、测试范围:
选取华为应用市场TOP1000应用,其类型涉及:便捷生活、购物比价、社交通讯、新闻阅读、影音娱乐、出行导航、拍摄美化、实用工具、教育、美食、汽车、旅游住宿、商务、儿童、金融理财、运动健康、主题个性和游戏。
3、测试结果:
- TOP1000应用获取隐私权限情况如下:
image
应用合理获取隐私权限可以理解为应用使用了上文中提到的“权限最小化”原则,用户可知可控。
应用不合理获取隐私权限可以理解为申请了“过度”权限,如,主打照相功能的应用申请了访问用户联系人、位置、短信的权限,会被认为是不合理的。
由上图可知,TOP1000应用中不合理获取隐私权限占比65%,表明超半数应用都存在不合理获取隐私权限的行为,对用户隐私构成严重威胁。
2)TOP1000应用不合理获取隐私权限的应用类别分析:
image
华为终端开放实验室参考应用市场的分类标准把TOP1000的应用分成了18类,从上图中可以看出,15个分类里超一半的应用存在不合理获取隐私权限的行为。
TOP1000的应用中,主题个性类应用表现最差,不合理获取隐私权限的行为占100%,主题个性类应用中过度申请用户的通讯录、录音和电话权限的行为居多;TOP1000的应用中,商务类应用整体表现相对较好。
综上所述,在TOP1000应用中,大多数应用都存在不合理获取隐私权限的行为,面对这种情况,用户和开发者分别需要怎么做呢?
华为终端开放实验室在此呼吁广大开发者务必引起重视,按照《安卓绿色联盟应用体验标准2.0—安全篇》尽快整改,移除非必要的权限请求。
四、规范申请和使用权限建议
1.对开发者
1)申请权限需满足最小化原则,申请权限全部为应用功能所需,不申请多余的权限,尽量避免造成用户隐私的泄露。
2)使用权限也要满足最小化原则,只有在必须使用的情况才允许使用相应权限。比如某聊天软件必须在进行视频聊天、拍照等功能需要的场景下才允许使用摄像头,而在其附属的新闻浏览功能中,不允许使用摄像头。
3)目前,华为终端开放实验室绿色应用标准2.0检测服务全面上线(点击阅读),已开放高危权限的检测服务,欢迎广大开发者第一时间登录http://deveco.huawei.com使用体验,目前需要第一时间检测的高危权限有:
2.对用户
建议用户在应用市场下载带有绿色标志的绿色应用,这类应用已经通过安全检测可以放心下载。
image
或者用户可以在“应用管理”里找到相应的应用,通过“应用权限”把相应不必要的权限关闭。
华为终端开放实验室
2018年9月19日