详解Android手机的应用权限，教你如何安全防护！

主页（http://www.175shouji.com）：详解Android手机的应用权限，教你如何安全防护！

　　一、背景

　　2017年Windows平台出现WannaCry勒索病毒之后,加州大学的一名研究人员也发现了一个名为”Cloak and Dagger”的恶意软件,该安全问题出现在了全球手机操作系统占有率高达80%的Android上。它能够偷偷的写入到Android手机上,帮助黑客收集手机上的信息,甚至任意安装与操作应用而不被用户发现。

　　你是否有时会接收到一些推销电话或者是推送资讯,其内容正是自己最近正在关注的信息呢?注意,这说明你的信息可能已被泄露。信息泄露的原因有很多,可能是手机系统本身漏洞,也可能是用户的使用习惯导致。比如有些用户为了能够快速开始使用应用,直接允许了应用弹出的所有权限。

　　以上种种信息表明了Android手机的安全防护变得越来越重要。在Android系统中,应用对手机中可能不安全的数据进行操作时,需要配置相应的权限,即经过用户的许可,否则将无法正常使用。但是如果用户允许了,会不会被应用滥用而泄露隐私呢?Android系统通过应用权限设置对恶意程序的防御,但是怎么设置这些权限是用户比较头疼的问题。

　　本期“安仔课堂”,ISEC实验室的陈老师将从应用权限角度为大家介绍如何进行手机的安全防护。

　　二、案例介绍

　　在最近分析的一个恶意应用中,发现了其中拥有一些侵犯用户隐私相关的行为。

　　1.隐藏应用图标并伪装成应用已卸载状态,让用户误以为该应用已经卸载成功,放松用户的警惕,实际还在手机中偷偷的运行。

图1

　　2.设置为系统默认短信,增加了对短信模块利用时的便利。

图2

　　3.拦截短信并获取用户手机中的短信内容,并根据短信内容做出不为用户所知的行为。

图3

　　4.获取设备管理员的权限,之后将被用来删除所有文件,修改屏幕锁等操作。

图4

　　所分析的应用中,涉及用户隐私的地方不止以上几处,但足以说明了权限滥用问题造成的后果。如果能控制好权限,恶意程序就不会那么容易得逞。比如关闭管理员权限、禁止读取短信等权限。

　　三、权限的介绍

　　从用户角度来看权限,主要分为普通权限和特殊权限两类。普通权限最直观,通过权限的名称就能知道其用途,设置的路径方式也相对简单。特殊权限对于一般用户而言不易理解其作用,设置的路径也各有不同。

　　1.普通权限:

　　(1)理论上所有会弹窗申请的权限都属于敏感权限,都有可能导致用户信息被窃取,下面将详细介绍下各个权限涉及到的具体敏感信息。

　　发送短信/彩信

　　部分手机发送短信与发送彩信分为两个权限开关。允许这个权限后,应用将有可能向指定号码发送短信/彩信,用于注册账号等。所有的话费开销由应用所在的手机进行支付。

　　修改短信/彩信

　　部分手机修改短信与修改彩信分为两个权限开关。该权限将允许应用程序对手机中的短信、彩信进行新增、删除、修改操作。可被利用于伪造短信数据,删除短信数据等。

　　读取短信/彩信

　　这个权限将允许应用程序读取手机中的短信、彩信,被利用来收集手机上的短信聊天记录或读取验证码,注册或登录某些重要的网站造成不良影响和经济损失。例如用于读取短信验证码进行登录网银账户等。

　　监听电话

　　这个权限将允许应用实时监听来电、去电、挂断的时间、号码信息。

　　拨打电话

　　这个权限将允许应用程序直接拨打指定的任意号码。

　　修改联系人

　　该权限将允许应用程序删除、写入联系人。可被利用于添加联系人数据或删除联系人数据。

　　读取联系人

　　该权限将允许应用程序读取手机联系人信息。可被利用于收集手机上的联系人信息。

　　修改通话记录

　　该权限将允许应用程序添加、删除、修改手机中的通话记录。

　　读取通话记录

　　该权限将允许应用程序读取手机中的通话记录。可在用户手机上获取通话时间、号码、时长等信息。

　　位置

　　该权限将允许应用程序实时获取当前手机所在位置。将可被利用于获取用户的行动轨迹。

　　相机

　　该权限将允许应用程序进行拍照或录制视频。将被利用于偷拍或录制用户的所作所为。

　　录音

　　该权限将允许应用程序进行录音。包括录制手机周边、打电话等声音,将可被利用于窃听跟声音有关的一切内容。

　　读写手机存储

　　该权限将允许应用程序读写sdcard上的所有文件,若sdcard上保存有重要文件,将有被窃取的风险。

　　日历

　　该权限将允许应用程序查看、增加、删除、修改日历的活动事件,有收集用户活动计划的风险。

　　身体传感器

　　该权限将允许应用程序读取传感器的一些数据,可收集用户身体状态相关的数据。

　　获取浏览器上网记录

　　该权限将允许应用程序读取系统浏览器的浏览记录和书签数据。

　　(2)设置方法

　　上面这些权限都可以用以下的方法进行设置。

　　方式1

　　在应用安装过程中,个别手机也会有权限设置界面,比如在华为 AIE-AL10(P9plus)上安装应用为例。

　　1)安装完成后将弹出一下界面

图5

　　2)点击“主要权限”,即可进行逐个权限设置

图6

　　方式2

　　如果是已经安装好的应用,需要打开“设置”应用,找到应用程序,再找到对应的应用程序(不同的手机操作路径可能会略有不同)。

　　1)打开“设置”应用,点击应用管理

图7

　　2)选择要修改权限开关的应用

图8

　　3)点击“权限”

图9

　　4)设置权限开关

图10

　　5)也可以点击“设置单项权限”,进入设置权限开关

图11

　　方式3