Existe-t-il une liste qui explique les risques liés à chaque type d'autorisation d'application accordé?

13

Habituellement, une application Android installée demandera des autorisations telles que

Phone calls
   read phone state and identity

ou

System tools 
   prevent phone from sleeping

Mais les conséquences réelles du point de vue de la confidentialité sont souvent un mystère pour moi. Existe-t-il une ressource expliquant plus en détail les risques liés à ces autorisations? Surtout en ce qui concerne la confidentialité et la sécurité des informations personnelles.

(Les avantages seraient tels que celui avec des exemples pratiques, des analyses, des pièges, fournissant des listes complètes.)

n611x007
la source
2
Pour quiconque s'interroge sur l'idée derrière cette question, une bonne lecture est la suivante: votre application de lampe de poche sait-elle où vous êtes? Sonder les autorisations Android , un article sur TechRepublic. Une lecture intéressante pour tous ceux qui ne se soucient pas tant de ces popups "stupides" sur les installations d'applications. Citation: 95% des utilisateurs ont été surpris que cette application ait envoyé l'identifiant unique de leur téléphone aux fournisseurs d'annonces mobiles , de même que leur emplacement ...
Izzy
1
PS: je viens de mettre à jour ma réponse avec une autre source. J'ai résumé des informations de partout sur le Web (partout où je pourrais trouver des pièces) et compilé une liste d'autorisations, ce qu'elles signifient et quelles implications elles pourraient avoir .
Izzy
@Izzy merci Izzy, quel beau travail! Toutes nos félicitations!
n611x007
Heureux que vous l'aimiez, naxa! J'essaie de le mettre à jour en permanence avec de nouvelles informations chaque fois que j'en reçois (c'était juste le cas il y a quelques jours). Profitez-en et passez le mot :)
Izzy

Réponses:

16

informations générales

Vous voudrez peut-être jeter un œil à Que signifient les autorisations dont les applications ont besoin? - notre "wiki communautaire" qui, espérons-le, deviendra un jour une telle ressource. À côté de cela, vous voudrez peut-être jeter un œil aux autorisations d'application expliquées - Que signifient-elles vraiment? , un article de blog sur AndroidPIT donnant au moins quelques brèves explications.

L'article de TechPP Utiliser les autorisations pour sécuriser vos données privées à partir des applications Android va un peu plus loin dans les détails (lecture recommandée!). Un autre bel aperçu est fourni par BinaryDroids .

Éditer: J'ai essayé de résumer les informations de toutes sortes de sources que j'ai pu trouver, donc la collection probablement la plus complète peut être trouvée sur Android.IzzySoft.DE: Permissions . N'ayez pas peur du ".DE": il sert également son contenu en anglais. (Divulgation: je suis le propriétaire, le créateur et le mainteneur de ce site.)

Une dernière recommandation directe est comment fonctionnent les autorisations des applications et pourquoi vous devriez vous en soucier - et pour en savoir plus, veuillez visiter notre bon vieux tante Google :)


Éditer: je n'ai pas pu résister à ajouter des conseils plus précieux, car c'est un sujet très sensible. Je vais donc continuer à mettre à jour ma réponse:


Publicité dans les applications

Gardez également à l'esprit que de nombreuses autorisations, certaines demandes d'application peuvent ne pas être requises par l'application elle-même, mais plutôt par un module publicitaire utilisé par l'application. Ainsi , selon TechRepublic 14 , MobFox et AdMob, deux des plus grands réseaux publicitaires, nécessitent les autorisations suivantes: INTERNET, ACCESS_NETWORK_STATE, ACCESS_COARSE_LOCATIONet READ_PHONE_STATE(afin qu'ils puissent savoir qui vous êtes [ READ_PHONE_STATE: numéro de téléphone, IMEI / IMSI], où environ vous êtes [ ACCESS_COARSE_LOCATION] , avec quels réseaux vous êtes connecté [ ACCESS_NETWORK_STATE], et avec qui vous communiquez [à nouveau READ_PHONE_STATE, pendant l'appel, pour le "numéro distant"]). Est-ce que cela semble un peu trop paranoïaque? Cela ne signifie pas que personne ne vous recherche, voir Deep Dive Into Ad Network Behavior sur Android .

Ce qui signifie: si vous ne vous sentez pas bien avec certaines combinaisons, vous pouvez simplement vérifier si l'application sur votre liste de souhaits a également une version payante - qui pourrait se passer de ces autorisations, car elle ne comporte pas le "module publicitaire". En parlant de cela: Addons Detector vous aidera à déterminer laquelle de vos applications comporte un tel module de ferroutage. Dans ce contexte, considérez également: aussi digne de confiance que le développeur de l'application puisse l'être, il peut ne pas être au courant et n'a aucune influence sur ce que ces "modules publicitaires" font avec vos données. N'oubliez pas: les réseaux publicitaires bénéficient des mêmes autorisations Android que l'application installée à laquelle ils sont associés. 13

À ce sujet, lisez également:


Cette nouvelle était-elle choquante pour vous? Vous ai-je infecté avec de la "paranoïa" - et maintenant vous êtes tombé "seul" avec vos mauvais sentiments? Je ne vous laisserai pas sans quelques recommandations. Tout d'abord, vous voudrez peut-être savoir quels "voleurs de données" potentiels vous avez déjà invités sur votre appareil, sans être conscients de ces risques. Ce n'est généralement pas une mauvaise intention du développeur (vous savez: "Pas d'argent, pas de miel" - les développeurs doivent également gagner leur vie). Donc, après avoir identifié des "méchants", vous voudrez peut-être confronter le développeur et lui donner la possibilité de passer à un autre fournisseur d'annonces, moins "dangereux" (après tout, le développeur peut également ignorer les risques encourus) . S'il ne veut pas, vous pouvez toujours décider de renvoyer le contrevenant de votre appareil. Ou de "devenir pro", s'il y a '

Alors: quelles options avez-vous? Je vais donner quelques exemples ci-dessous.

  • Addons Detector connaît beaucoup de ces modules. Très bien noté (4,7 étoiles à plus de 3 000 notes), il détecte non seulement les modules publicitaires, mais aussi les modules d'analyse, de développement et de licence
  • Le détecteur de réseau publicitaire Lookout - nomen est omen - se concentre sur les modules publicitaires. Sa valeur supplémentaire est la capacité de vous dire exactement quelles données sont collectées et par qui. Évaluation comparable (4,4 à> 3 000 évaluations)
  • TrustGo Ad Detector offre des fonctionnalités comparables et vous donne également des détails sur le comportement et les antécédents des réseaux publicitaires. Actuellement 4,5 à environ 2000 notes.

Les "utilisateurs root" ont peut-être également entendu parler de plusieurs applications de blocage des publicités (par exemple Adaway , Adblock Plus - ce dernier ne nécessitant même pas de root), certaines d'entre elles pouvant non seulement "bloquer par l'hôte / IP", mais aussi désactiver directement les modules publicitaires. Eh bien, ceux-ci ne sont plus disponibles sur le Playstore, car Google les a interdits. Mais vous les trouverez certainement ailleurs dans le Web. Assurez-vous de sélectionner une source fiable, si vous prévoyez de les utiliser. Je recommande F-Droid , qui a sa propre "application de marché" du même nom, donc vous obtenez également des mises à jour. Toutes les applications sont open source et donc gratuites. Et non, évidemment pas de "versions pro piratées gratuitement", toutes entièrement légales et légales :)

Izzy
la source
-1

je fais de mon mieux pour expliquer ..

vous étiez installer l'autre programme qui a besoin de synchroniser la fonction .. par exemple est votre répertoire téléphonique .. il doit obtenir des informations automatiquement à partir de votre répertoire téléphonique .. le numéro de téléphone et le nom que vous avez mis en contact ..

j'espère que vous comprendrez la 1ère explication ..

pour l'outil système, l'application a besoin de la ligne internet..exemple est le facebook..lorsque le téléphone en mode veille..il coupera la ligne internet pour enregistrer l'état d'alimentation de la batterie..vous ne serez pas dérangé lorsque le téléphone sera en le mode veille quand tu dormais ..

le mot simple est que le téléphone ne fonctionnera qu'avec le réglage d'origine .. vous pouvez recevoir les sms et les appels téléphoniques normaux en utilisant la ligne du fournisseur ... mais pas la ligne Internet ..

j'espère que vous pouvez obtenir plus d'informations par google .. j'essaye d'obtenir un mot simple et facile ici ..

THX.

armz
la source
OP s'intéresse aux conséquences réelles du point de vue de la confidentialité . Les bases de l'utilisation de ces autorisations dans un sens positif (accès au calendrier pour placer un horaire de train à partir d'une application de planificateur de voyage, par exemple) sont claires pour une telle «chose de base». Des choses comme plus intéressantes PHONE_STATEpourraient non seulement être utilisées pour vérifier s'il y a un appel en cours, mais peuvent également être utilisées de manière malveillante pour sélectionner les deux numéros impliqués, ainsi que votre IMEI / IMSI et votre fournisseur, pour le profilage ou d'autres mauvaises intentions. Le meilleur serait donc une liste de "bon flic" / "mauvais flic": D
Izzy