Разрешения приложений в Android 8 | by IT Безопасность | Medium

Разрешения приложений в Android 8 | by IT Безопасность | Medium Карманный ПК

Доступ к sms

Это разрешение дает приложению право просматривать, принимать и отправлять текстовые и мультимедийные сообщения. Его оправданно просят соцсети, мессенджеры или программы, где требуется верификация с помощью SMS. 

А вот остальным приложениям такой доступ лучше не давать. Как минимум, вам могут отправлять спам. Гораздо неприятнее, если вас подпишут на платную услугу и смогут читать переписку, в том числе сообщения из финансовых учреждений, в которых могут быть одноразовые коды для верификации в онлайн-банке или подтверждения транзакций.

Также будьте осторожны с автоматическим введением кодов из SMS, который можно настроить на iOS и Android. Это очень удобно, ведь с ним не надо вводить код вручную. Но функция может сыграть злую шутку, если приложение самостоятельно решит подтвердить случайный платеж.

Доступ к календарю

Разрешение на просмотр календаря позволяет приложению видеть все события из него, а также редактировать и создавать новые. Такой доступ может понадобиться программам для планирования или корпоративного управления наподобие Google Календаря, Trello или Asana, а также вишлистам. Если функциональность приложения не предполагает ничего подобного, то лучше обезопасить себя и не давать разрешение.

Что касается минусов, то утилита получает доступ ко всем событиям и теоретически способна случайно удалить из календаря важное мероприятие или встречу после обновления. А перед днем рождения кого-то из близких или другим календарным праздником вы можете получить свежую порцию таргетированной рекламы – чтобы выбрать лучший подарок.

Доступ к камере

Доступ к камере позволяет приложению делать фотографии и записывать видео. Другое дело, что оно теоретически может фотографировать без предупреждения и согласия пользователя, поэтому стоит внимательно изучить, кому вы предоставляете разрешение.

Вполне логично, что такой доступ требуется соцсетям и мессенджерам, чтобы снимать сторис, оформлять посты и обмениваться фотографиями. Также доступ к камере необходим приложениям для распознавания изображений (Google Lens, определители растений, считыватели QR-кодов), ведь без него они просто не смогут работать.

Про мини ПК:  Обзор смартфона TCL 20Y

Если же доступ к съемке требует новомодный калькулятор или фонарик, загруженный не из официального магазина приложений, то это повод задуматься и ни в коем случае не давать лишних прав – а лучше и вовсе удалить подозрительную программу. 

Доступ к клавиатуре

Доступ к клавиатуре подразумевает, что приложение имеет право запоминать все, что вы печатаете, и у этого тоже есть свои плюсы и минусы. Среди неоспоримых достоинств — клавиатура изучает стиль общения, не исправляет сленг и тем самым экономит время, предлагая «ваши» слова и позволяя печатать быстрее.

Из минусов: кроме манеры общения, она может запомнить также данные банковских карт и, если вы недавно их вводили, поставить комбинацию на быстрый набор. Так повышается риск случайно отправить ценную информацию не по адресу. 

Доступ к контактам

Предоставляя доступ к контактам, мы автоматически разрешаем приложению не только читать нашу адресную книгу, но также изменять и добавлять контакты. При корректной работе программы это совсем не страшно. Например, такие доступы вполне оправданы для клиентов соцсетей или мессенджеров, чтобы вы в любой момент могли написать сообщение либо позвонить кому-то из вашего списка введенных номеров вместо того, чтобы добавлять их вручную.

В остальных случаях доступ лучше не давать, ведь программа может отправить ваш список контактов на сторонние серверы. Так, в том числе, создаются базы данных для рассылки спама.  

Доступ к контактам обязательно запрашивают приложения для определения номеров. Он необходим им для работы, но иногда данные используются недобросовестными компаниями совсем не по назначению. А наша телефонная книга часто содержит не только номера, но и адреса, электронные почты и даже места работы людей.

Доступ к списку вызовов и телефону

Разрешение на доступ к телефону дает приложению возможность сканировать журнал вызовов, а также совершать звонки и управлять ими. Если такое разрешение запрашивает мессенджер или банковское приложение (например, для идентификации пользователя через звонок), то поводов для беспокойства обычно нет.

Если же доступ получила ненадежная программа, она может заполучить журнал вызовов вместе с номерами и дополнительной информацией об абонентах. А если вредоносное приложение одновременно имеет доступ к микрофону, то оно может даже перехватывать банковские коды, которые робот диктует по телефону. И тут уже есть риск потерять не только данные, но и деньги.

Про мини ПК:  Смартфоны: хиты продаж начала лета 2012. Cтатьи, тесты, обзоры

Доступ к местоположению

Разрешение на доступ к местоположению устройства позволяет определять вашу геолокацию на основании информации о базовых сотовых вышках, точках доступа Wi-Fi, а также данных GPS и ГЛОНАСС. 

Такой доступ необходим для работы навигаторов, картографических сервисов, такси и приложений торговых сетей, ведь в зависимости от региона может меняться график работы и доставки. Часто геолокацию запрашивают соцсети: им это необходимо для геотегов. Если вы не публикуете фото с геолокацией, можете смело отключить это разрешение.

Тут есть свои риски: если у приложения есть доступ к вашему местоположению, то оно может рассылать надоедливую рекламу с учетом региона. К тому же, если ваш смартфон попадет в чужие руки, то незнакомец сможет видеть все ваши передвижения, узнать адрес и распорядок дня.

Доступ к микрофону

Доступ к микрофону позволяет программам записывать аудио и рано или поздно понадобится во всех приложениях, где используется голосовая связь: мессенджеры, социальные сети, игры с голосовым чатом.

Что касается возможных рисков, то приложение сможет записывать все звуки рядом со смартфоном, включая телефонные разговоры. В дальнейшем полученная информация используется для таргетированной рекламы: многие замечали, что достаточно обмолвиться в аудиосообщении Telegram об отпуске, чтобы потом везде встречать рекламу туроператоров.

Однако совсем не давать доступ к микрофону тоже неудобно, ведь тогда вы не сможете записывать голосовые сообщения. Единственный выход – отключать доступ к микрофону, когда вы не используете приложение. 

Доступ к памяти устройства

Такой доступ обычно дает приложению право на изменение содержимого внутреннего хранилища и карты памяти. Таким образом посторонняя программа может не только читать и просматривать данные, но и перезаписывать их и даже удалять, чем могут воспользоваться злоумышленники.

С другой стороны, это разрешение необходимо для работы графическим редакторам, а также софту для загрузки и обработки фото и видео — без него они просто не смогут функционировать. Да и соцсети просят разрешение на доступ к памяти, если вы хотите отправить кому-то файл или фотографию.

Доступ к платным sms (premium sms access)

Что это: У Google есть специальный список, в который попадают номера платных SMS-сервисов в разных странах мира. Если какое-то приложение пытается отправить SMS на номер из этого списка, то система выводит предупреждение — спрашивает пользователя в явном виде, точно ли ему это нужно и следует ли разрешить приложению это делать.

Про мини ПК:  А вот и главные смартфоны в номинации «Что покупать, если не Xiaomi?» —

Чем опасно: Существуют целые семейства зловредов, зарабатывающих тем, что они тайком подписывают пользователей на платные SMS-сервисы. Не очень понятно, насколько список номеров Google полон, но, вероятно, он защищает хотя бы от самых популярных троянов-подписчиков.

Где настроить:Настройки -> Приложения и уведомления -> Расширенные настройки -> Специальный доступ -> Доступ к платным SMS

Доступ к уведомлениям (notification access)

Что это: Это разрешение на обработку уведомлений. Например, оно нужно приложению Google Wear, чтобы пересылать уведомления на умные часы. Также его использует штатный лончер — «главное приложение» Android, — чтобы выводить всплывающие уведомления на рабочем столе рядом с иконками соответствующих приложений.

Чем опасно: В уведомления попадает немало конфиденциальной информации — SMS, сообщения мессенджеров и так далее. Если у какого-нибудь шпионского приложения или банковского трояна есть возможность туда подглядывать, то они могут узнать много всего такого, что вам, вероятно, не хотелось бы им рассказывать. Поэтому разрешать доступ к уведомлениям каким попало приложениям не стоит.

Где настроить:Настройки -> Приложения и уведомления -> Расширенные настройки -> Специальный доступ -> Доступ к уведомлениям

Доступ к функции «не беспокоить» (do not disturb access)

Что это: В новейших версиях Android есть функция «Не беспокоить» с массой настроек — она позволяет полностью отключить звук голосовых звонков и сообщений, скрывать всплывающие уведомления. Также можно настроить расписание, по которому работает этот режим, и добавить исключения — для всех контактов или только для помеченных, — чтобы на звонки и сообщения от них режим «Не беспокоить» не распространялся. Данное разрешение позволяет приложению изменять настройки этого режима.

Чем опасно: Вредоносное приложение может в нужный момент включить режим «Не беспокоить», чтобы владелец телефона пропустил какие-то важные звонки или сообщения. Например, звонок от службы безопасности вашего банка в момент совершения подозрительной транзакции.

Где настроить:Настройки -> Приложения и уведомления -> Расширенные настройки -> Специальный доступ -> Доступ к функции «Не беспокоить»

Журналы вызовов

Если вы уже используете Android 9.0, возможно, вы заметили, что в вашем меню настроек появилась дополнительная группа разрешений. Новая политика Google по борьбе со злонамеренным поведением намного сложнее в отношении слежки и коммерческих программ-шпионов, и эта категория разрешений дает пользователям больше контроля. Это одна из тех групп разрешений, которую вы, вероятно, отключите почти для всех своих приложений.

Вот так выглядят разрешения для журнала вызовов в Android 10.
Вот так выглядят разрешения для журнала вызовов в Android 10.

Изменение разрешения для приложений

Приложения, использующие новую модель авторизации, позволяют отзывать разрешения. Google обозначает кое-какие разрешения как «опасные», включая такие, как:

  • календарь;
  • журналы вызовов;
  • камера;
  • контакты;
  • датчики тела;
  • микрофон;
  • смс;
  • память;
  • местоположение;
  • телефон.

Есть такие пакеты разрешений, которые группируют ряд частичных разрешений. Приложение фонарика может записывать видео, потому что для управления LED-светом требуется разрешение камеры. Но приложение, которому разрешено читать текстовые сообщения, может не отправлять их автоматически из-за разрешений SMS.

Есть различные подходы к управлению и администрированию разрешений.
Есть различные подходы к управлению и администрированию разрешений.

Начиная с Android 8.1, некоторые разрешения классифицируются как «нормальные», и каждое приложение имеет право на них. К ним относятся:

  • состояние сети;
  • управление уведомлениями;
  • управление Bluetooth;
  • изменение статуса сети;
  • интернет;
  • остановка фоновых процессов;
  • NFC (ближняя связь);
  • отключение оптимизации батареи;
  • изменение фонового изображения;
  • использование сканера отпечатков пальцев.
  • Приложения запрашивают эти разрешения после установки, и пользователь не может отозвать их впоследствии.

    Изменение системных настроек (modify system settings)

    Что это: В Android существует два типа настроек системы: обычные и «глобальные», причем все по-настоящему опасные настройки постепенно переехали во вторую часть, а в первой остались всякие второстепенные — вроде изменения яркости и громкости. Данное разрешение позволяет приложению менять обычные настройки, но не «глобальные».

    Чем опасно: Звучит угрожающе, но на самом это довольно безобидное разрешение: в настройках, которые это разрешение позволяет изменять, не осталось ничего по-настоящему опасного.

    Где настроить:Настройки -> Приложения и уведомления -> Расширенные настройки -> Специальный доступ -> Изменение системных настроек

    Как себя обезопасить

    Есть несколько правил, которые уберегут вас от того, чтобы открыть доступ мошенническим приложениям:

    1. Скачивайте программы только из официального магазина и забудьте навсегда про пиратские сайты. Даже если вы скачиваете приложение из Google Play, убедитесь в том, что оно подлинное. Обычно, под оригиналом больше всего комментариев и оценок.Разрешения приложений в Android 8 | by IT Безопасность | Medium
    2. Всегда внимательно читайте, какие именно права вы даете приложениям.
    3. Не открывайте доступ к камере и контактам играм или другому программному обеспечению, которое никак не связанно с этим функционалом мобильного телефона.

    Далеко не всегда стоит разрешать приложениям доступ к камере и контактам. Всегда, когда скачиваете новые приложения, будьте аккуратны и следите за тем, что вы разрешаете программам.

    Контакты (contacts)

    Что это: Разрешение на доступ к вашей адресной книге — чтение, изменение имеющихся и добавление контактов, а также доступ к списку аккаунтов, которые вы зарегистрировали в данном смартфоне.

    Чем опасно: Получив это разрешение, приложение может заполучить всю вашу адресную книгу — и отправить эти данные на сервер. Этим злоупотребляют даже легитимные сервисы, что уж говорить о всевозможных мошенниках и спамерах — для них это просто находка.

    Нательные датчики (body sensors)

    Что это: Доступ к данным от датчиков состояния здоровья, таким как пульсомер.

    Чем опасно: Разрешает приложению следить за тем, что происходит с вашим телом, используя информацию от датчиков соответствующей категории — если они у вас есть, скажем, в фитнес-браслете и вы ими пользуетесь (встроенные в смартфон датчики движения не входят в эту категорию).

    Где настроить:Настройки -> Приложения и уведомления -> Разрешения приложений -> Нательные датчики

    Поверх других приложений (display over other apps)

    Что это: Это разрешение позволяет приложению выводить изображение поверх других приложений.

    Чем опасно: Вредоносные приложения могут скрывать от пользователя какие-то важные предупреждения, а также подсовывать ему фальшивые формы ввода номера кредитной карты или пароля поверх окон легитимных приложений. Это разрешение — один из двух ключевых механизмов, используемых атакой под названием Cloak & Dagger.

    Также это разрешение часто используют AdWare, чтобы выводить рекламные баннеры поверх всего остального, и вымогатели-блокировщики — они полностью перекрывают экран своим окном и требуют выкуп за то, чтобы это окно убрать.

    В общем, в подавляющем большинстве случаев лучше это разрешение приложениям не выдавать.

    Где настроить:Настройки -> Приложения и уведомления -> Расширенные настройки -> Специальный доступ -> Доступ к функции «Не беспокоить»

    Права суперпользователя (root privileges)

    Что это: В слове «суперпользователь» приставка «супер» означает примерно то же самое, что и в слове «супергерой». Эти права наделяют пользователя суперсилой, которая — при наличии должных умений — позволяет обходить все многочисленные механизмы защиты Android и делать с операционной системой практически что угодно.

    На «рутованном» — то есть с полученными правами суперпользователя — смартфоне можно изменять любые настройки, получать доступ к любым файлам, в том чисел системным, удалять и устанавливать любые приложения из любых источников, ставить любую прошивку и так далее.

    Чем опасно: Ту же самую суперсилу root-привилегий получает не только пользователь, но и установленные на смартфоне приложения. И они могут воспользоваться открывшимися возможностями для кражи любых имеющихся в смартфоне данных, тотальной слежки и прочей вредоносной деятельности.

    Если все перечисленные выше разрешения позволяют получать доступ к данным и функциям, доступ к которым так или иначе предусмотрен операционной системой Android, то root-привилегии дают возможность получить доступ к тем данным и функциям, к которым вообще-то никогда и не планировалось никого пускать. И это уж не говоря о том, что приложение, имеющее root, само может настроить себе все разрешения.

    Приложение для работы с sms по умолчанию

    Многие троянцы пытаются стать приложением для работы с SMS по умолчанию, ведь это позволяет им не только читать SMS, но и скрывать их от пользователя, даже в современных версиях Android. Например, это может понадобиться троянцам для того, чтобы перехватывать одноразовые коды для подтверждения банковских транзакций.

    Разрешения приложений в android 8

    Вернее, она становится все более безопасной, если пользователь все делает правильно. Для того чтобы наложить лапу на какие-нибудь интересные данные, которые хранятся в общей части памяти, или заполучить доступ к той или иной функции, использование которой может быть небезопасно, приложению для Android всегда нужно получить разрешение пользователя, причем в явном виде.

    Поговорим о свежей версии операционной системы — Android 8. Настроек в ней стало гораздо больше, что одновременно и хорошо, и плохо. С одной стороны, есть больше возможностей для того, чтобы сделать систему безопаснее; с другой — в настройках стало сложнее разобраться, и на них приходится тратить больше времени.

    Разрешения, которые настраиваются в списке «специальный доступ»(special app access)

    В предыдущем пункте мы разобрались с разрешениями приложений на доступ к персональным данным. Но есть еще один список разрешений — на доступ к различным функциям Android. Эти разрешения, если они попадут в руки вредоносному приложению, позволят ему сделать много чего нехорошего, поэтому их также следует давать крайне осторожно.

    Тем более, что эти разрешения спрятаны поглубже в настройках, ну и далеко не всегда очевидно, как именно они могут быть использованы, — для понимания возможных последствий нужно неплохо представлять, как устроен Android и как работают зловреды. Но сейчас мы вам все это объясним как можно более коротко и доступно.

    Разрешения, которые настраиваются отдельно

    Помимо тех пунктов настроек, которые собраны в списках «Разрешения приложений» и «Специальный доступ», в Android 8 есть еще несколько важных разрешений, на которые стоит обратить внимание. Эти разрешения при неправильном использовании могут быть даже более опасными, чем разрешения из тех двух списков, о которых мы уже поговорили. Так что лучше о них знать — и ни в коем случае не давать каким попало приложениям.

    Специальные возможности (accessibility)

    Что это: Это очень мощный набор возможностей, который изначально был создан для того, чтобы облегчить жизнь людям с нарушениями зрения. «Специальные возможности», например, позволяют приложению зачитывать вслух все, что происходит на экране. И наоборот, переводить голосовую команду, отданную пользователем, в то или иное действие с графическим интерфейсом.

    Чем опасно: Этот набор возможностей позволяет одному приложению получить доступ к тому, что происходит в других приложениях — тем самым нарушая принцип изоляции, принятый в Android.

    Используя «Специальные возможности», вредоносное приложение может подсматривать за тем, что вы делаете. А также делать что угодно с графическим интерфейсом — грубо говоря, нажимать за вас любые кнопки. Например, оно может изменить настройки, подтвердить любые действия, подписаться на что-нибудь платное или даже купить какое-нибудь приложение в Google Play. Этот набор возможностей — один из двух ключевых механизмов, используемых атакой под названием Cloak & Dagger.

    Где настроить:Настройки -> Спец. возможности.

    Запрос на доступ к «Специальным возможностям» — это не всегда прямой признак вредоносной деятельности. Некоторые легитимные приложения используют этот механизм во благо. Например, мобильные антивирусы — им он нужен для того, чтобы вовремя замечать подозрительное поведение других приложений.

    Но в целом, перед тем как разрешать приложению доступ к «Специальным возможностям», лучше хорошенько подумать — последствия могут быть очень неприятными.

    Смотрите на рейтинг и читайте отзывы

    Чаще всего высокий рейтинг приложения в магазине говорит о том, что оно действительно хорошее, полезное и безопасное. Тем не менее и здесь нужно быть бдительным: бывает так, что злоумышленники с помощью троянов накручивают приложениям рейтинги и подделывают отзывы.

    Поэтому просто высокого рейтинга мало — стоит посмотреть в отзывы и понять, написаны они в основном людьми или все-таки ботами. Сгенерированные зловредами отзывы чаще всего положительны и односложны, или же несколько одинаковых отзывов могут идти один за другим — это тоже довольно очевидный тревожный звоночек.

    К тому же в случае проверенных и действительно популярных приложений рейтинги далеко не всегда достигают оценки в пять звезд, а отзывы чаще всего развернутые, в том числе и негативные — пользователи пишут их для связи с разработчиком и решения проблем, с которыми сталкиваются.

    Оцените статью
    Карман PC
    Добавить комментарий