上周,江蘇省消保委正式對百度提起公益訴訟,稱後者一直未對旗下手機百度和百度瀏覽器兩款手機應用中「監聽電話」「讀取短 / 彩信」「讀取聯繫人」等與應用功能無關但涉及消費者個人信息安全的權限進行整改,無法有效保障消費者知情權和選擇權。
此事一出,再度引發了不少網友對 Android 應用的權限管理和個人隱私信息的討論。應用超過自身功能範圍申請敏感信息權限的行為並不少見,加之近年來部分廠商的態度愈加強硬,作為用戶要如何在不影響使用的前提下保護自己的隱私呢?
為什麼「電話」權限會成為焦點?
社會中每個人都有自己的角色、職位,在自己所擁有的權限範圍內各司其職。
Android 應用亦是如此,小到保持屏幕常亮、控制設備震動,大到讀取手機狀態、簡訊、通訊錄等敏感信息,Android 應用的各種行為原則上來說都需要預先進行相應的權限聲明來保證用戶的知情權。
這當中,文章開頭所提到的電話、短 / 彩信和聯繫人都屬於關乎用戶隱私信息的危險權限。以「電話」權限為例,Android 官方文檔中指出,「電話」類權限包含:
讀取手機狀態:設備的手機號碼、當前行動網路狀態(IMEI、MEID、ESN、IMSI 碼、信號強度等)以及通話狀態(不含通話聲音)。
撥打電話:無需用戶手動點擊通話鍵打開撥號界面直接撥出電話
應答撥入的電話,然而只有 Android 8.0 以及更新版本才能用
讀 / 寫通話記錄
添加語音郵箱
設置 SIP 網絡電話
處理撥出的電話:允許應用獲取撥出的電話號碼,允許重定向到另一個號碼或者中斷通話。
Google 從 Android 6.0 開始要求編譯時 Target SDK 設置為 23(即 Android 6.0)的應用在使用危險權限前必須通過請求對話框徵得用戶同意,部分廠商因此索性走上了「不給權限不讓用」的極端,散盡原本應由企業恪守的職業操守、將這個要求扔給用戶,造成功能與隱私「二選一」的兩難局面。
系統諮詢是否允許相機權限
另一方面,由於國內沒有 Google Play 服務,一些開發廠商為了準確統計自家應用的裝機量、活躍度、崩潰日誌等信息,不得不引入第三方統計工具包(SDK)或者自製統計服務,這當中又大會申請「讀取手機狀態(READ_PHONE_STATE)」權限來獲取用戶設備的 IMEI 碼(IMEI 碼被作為統計中用戶手機的唯一識別碼,可以避免重複計算裝機量)。
除了「電話」類權限,我們還經常見到應用會申請「信息」和「通訊錄」的讀取,一些社交通訊軟體會讀取通訊錄藉助手機號碼來查找已註冊的好友,而在登錄時又會藉助「信息」權限接收驗證碼簡訊自動填寫,免去了手動輸入的麻煩。
這些權限看似都讓應用為我們提供了許多便利,然而,我們很難保證它們真的老老實實使用這些權限,網上曾有惡意軟體藉助簡訊權限偷取銀行帳戶的手機驗證碼盜走資金的新聞,而正規應用背後又有多少涉及重要隱私的操作則不得而知。
因此,除了像文章開頭提到的運用法律武器保護自己的權益,我們還要做到未雨綢繆,控制好 Android 手機上的權限,將隱私洩露的可能性最小化。
如何管好權限?
原生系統(Android 6.0+)的權限管理
系統設置中查看微信的權限列表
原生系統在 Android 6.0 中加入了權限管理,一般能夠在系統設置中通過搜索功能找到。
但是原生 Android 的權限管理功能同時面向於開發者和用戶,用戶拒絕的同時應用也會得知。因此,流氓廠商輕者「死纏爛打」要求用戶同意,重者直接在未得到用戶授權後拒絕用戶使用應用的其他功能。
這種防君子不防小人的機制在某種意義上形同虛設。
第三方定製系統的「安全中心 / 隱私保護」
開放的 Android 衍生了許多第三方的定製系統,如國內著名的 MIUI、Flyme、EMUI 等廠商定製系統都有 「安全中心」,和系統深度結合提供 「應用權限管理」 功能,可以在不影響應用正常運行的情況下阻止應用讀寫隱私數據,有些系統還會為用戶自動配置好權限,我們仍需要逐個檢查以防萬一。
除了廠商定製的系統,還有過去的 CyanogenMod、現在的 Lineage OS 及國內的魔趣團隊為各種機型開發的 ROM 也有類似的「隱私保護」功能,無需額外安裝任何工具即可對應用權限進行管控,也能在不影響應用正常運行的前提下進行權限管理。
不過這類權限管理方式由於 ROM 限制並不具備通用性。
App Ops 類管理應用
如果你的系統中沒有類似「安全中心/隱私保護」這樣的功能,也可以通過 App Ops 這類應用獲取到「允許/拒絕」以外的第三個選擇——忽略。
利用 Android 系統內建的一套名為「App Ops」權限管理機制,App Ops 能夠和上面提到的第三方定製系統做到類似的權限效果,除此之外,還能夠對應用的權限請求進行「忽略」,讓應用獲取到沒有任何信息的權限許可。這樣既能正常使用應用,又能保證隱私不被強行掠奪。
另外,App Ops 無需 Root,對不少不方便解鎖破解手機的朋友來說是個好消息,我們只需藉助第三方應用來設置即可,下面推薦兩款不錯的應用給大家:
功能最為完善的 「App Ops」
App Ops
Android
相關文章
下載
這款與系統機制同名的應用出自國人開發者之手,支持搜索、多用戶、多種排序方式,還可以按權限來分類,快速地關閉敏感權限。界面交互也做得非常不錯,感覺和原生系統設置融為一體。
App Ops 應用 按權限分類
免費開源的「AppOpsX」
AppOpsX
Android
相關文章
下載
同樣出自國人之手,名字上多了一個「X」,讓人認為是更強的版本,而事實上由於系統機制的限制,「AppOpsX」和「App Ops」的控制效果是一樣的。、
不同的是,「AppOpsX」是一款完全免費且無廣告的開源應用。
AppOpsX 應用
Xposed 模塊:XPrivacy
道高一尺魔高一丈,國內一些應用已經開始檢測系統的 App Ops 狀態得知自己是否被阻止,更有甚者以安全風控為由將用戶登錄的帳號凍結,導致無法再使用。
面對這些可惡的應用,我們自然是不會罷休的,如果你的手機 root 過且安裝了 Xposed 框架,不妨試試 XPrivacy 模塊:它不僅可以控制各種權限,還可以隨意修改返回給應用的數據,真正地做到 「欺騙」 應用。
XPrivacy 模塊
使用「輕應用」
應用不給權限不讓用,又不想折騰,不妨試試「輕應用」——網頁版應用、微信小程序等即點即用的平臺。
微博 Lite(網頁版)、美團外賣和 ofo 小黃車小程序
過去的潮流是從網頁版轉向客戶端,如今許多大廠又開始積極推動網頁、小應用的開發,比如微信推出的小程序、Google主導的漸進式網頁應用(Progressive Web App),相信大家都曾了解過,它們受於平臺的限制,無法獲取手機狀態、簡訊、聯繫人等敏感信息,使用起來更加安全放心,而體驗也十分流暢。