访问权限APP开发中的移动安全
来源:本凡(北京) 发布时间:2022-09-21
开(kai)发(fa)应用程序的安全性是大多数开(����kai)发(fa)人员关心的问题之一。该主题对(dui)于移(yi)动应用程序的所有者(zhe)及其用户(hu)同样重要。
下(xia)载应(ying)�����用(yong)程序时(shi),只需考(kao)虑该(gai)应(ying)用(yong)程序需要(yao)多(duo)少(shao)权限。这是为了访(fang)问您手机(ji)的内容(rong):照片、联系人、数据(ju)、连接(jie)等。
事实是与桌面应用(yong)(yong)程(cheng)序(xu)(xu)(xu)不(bu)同,移动应用(yong)(yong)程(cheng)序�������(xu)(xu)(xu)享有对设(she)备内(nei)容(rong)的(de)一定限(xian)制的(de)访(fang)问权限(xian)。应用(yong)(yong)程(cheng)序(xu)(xu)(xu)将通过配置(zhi)其设(she)置(z������hi)来(lai)访(fang)问允(yun)许它(ta)们使用(yong)(yong)的(de)所有内(nei)容(rong)。但是,不(bu)注意应用(yong)(yong)程(cheng)序(xu)(xu)(xu)的(de)要求是一个常见的(de)错误。
在为Android和iOS开发应(ying)用(yong)程序时,访问权(quan)(quan)限����通常(chang)是(shi)(shi)完全(quan)合理的(de)(de)。但是(shi)(shi),有时它们不是(shi)(shi)。这意味着,一方面(mian)用(yong)户应(ying)该注意这些权(quan)(quan)限。此外,另一方面(mian)开发人员应(yi�����ng)该以道德为导向,只(zhi)要(yao)求访问必要(yao)的(de)(de)内容。
1.一些常(chang)见的访问权限:
访(fang)问(wen)权限将(jiang)(jiang)始终取决于应用程序������(xu)。例如,寻(xun)找(zhao)离您当前位(wei)置最近(jin)������的餐厅的食(shi)品应用程序(xu)和餐厅将(jiang)(jiang)需要能(neng)够访(fang)问(wen)您设备的GPS。没有此访(fang)问(wen)权限,应用程序(xu)将(jiang)(jiang)无(wu)法运行,或者至少(shao)无(wu)法正常运行。以下是一些(xie)最常见的权限:
联系人
电话
照片、视频和音(yin)频
ID和设备数据
短信
无线上网
账户
某(mou)些应用程序(xu)可能需(xu)要额外的(�����de)访(fang)问(wen)(wen)权限。让我(wo)(wo)们看(kan)看(kan)允许(xu)访(fang)问(wen)(wen)我(wo)(wo)们的(de)Android设备的(de)某(mou)些部分(fen)的(de)确切(qie)含义。这包括与每(mei)种访(fang)问(wen)(wen)权限及其范围(w�����ei)相关的(de)风险。
例(li)如,让应(ying)�����(ying)用程(cheng)序访问短信(xin)意(yi)味着它允许您发送/阅读消(xiao)息。如果该应(ying)(ying)用程(cheng)序在您没有注意(yi)到的(de)情况下开始(shi)发送消(xiao)息,这可能会在月底转化为电话服(fu)务帐户的(de)增加。但是,如果使用得当,其目的(de)是确认ID,从(cong)而享受更安全的(de)应(ying)(ying)用程(cheng)序。
2.安全的(de)应用程(cheng)序(xu)开发:隐(yin)私有危险吗?
除了您(nin)的(de)开发过程(cheng)之(zhi)外,还(hai)有(you)其(qi)他方面需要(yao)考(kao)(kao)虑以使应(ying����)用程(cheng)序被认为是安(an)全的(de),这意味(wei)着不仅(jin)要(yao)考(kao)(kao)虑您�������(nin)的(de)代码。它还(hai)取(qu)决(jue)于接(jie)受或(huo)拒绝(jue)每个应(ying)用程(cheng)序的(de)隐(yin)私政策的(de)用户。
例子:
例如,根据技术服务(wu����)和解决方案(an)公(gong)司Quental最(zui)近的(de)一(yi)项研(yan)究,至(zhi)少61.3%的(de)下(xia)载次数最�����(zui)多的(de)移动(dong)应(ying)用(yong)(yong)程序符合特(te)定的(de)适用(yong)(yong)法(fa)律(lv)框(kuang)架。它(ta)还有一(yi)项隐私政策,用(yong)(yong)于(yu)管理最(zui)终用(yong)(yong)户个(ge)人数据的(de)使用(yong)(yong)和处(chu)理。
与社(she)交网(wang)络一(yi)样,答(da)案(an)最终将始终取决于我们(men)。如果您(nin)(nin)(nin)不(bu)(bu)希望任何人看到您(nin)(nin)(nin)在社(she)交网(wang)络上发布的(de)内容(rong),只需(xu)限(xian)(xian)制自己发布或检查您(nin)(nin)(nin)帐户的(de)隐私。当涉及到应用(yong)程(cheng)序(xu)时(shi),可用(yong)的(de)选项(xiang)可能会(hui)更严格一(yi)些,但归(gui)根结(jie)底都是同一(yi)件事:您(nin)(nin)(nin)根本不(bu)(bu)下载(zai)您(nin)(nin)(nin)不(bu)(bu)想共享(xiang)其(qi)访问(wen)(wen)权限(xian)(xian)的(de)应用(yong)程(cheng)序(xu)。您(nin)(nin)(nin)不(b�����u)(bu)能允许某(mou)些权限(xian)(xian)而拒绝(jue)其(qi)他权限(xian)(xian);如果您(nin)(nin)(nin)限(xian)(xian)制访问(wen)(wen)权限(xian)(xian),该应用(yong)程(cheng)序(xu)将无法正(zheng)常(chang)工作(zuo)。
但是(shi),我(wo)们(men)在授予对应用程序的完全(quan)访问(wen)权限(xian)时(shi)可能会遇到问(wen)题。如果允许应用程序在访问(wen)我(wo)们(men)的个人数据和信息(xi)的情(qing)况下������(xia)发送(song)和发布内容,我(wo)们(men)最敏感(gan)的信息(xi)�����(照片、视频、密(mi)码(ma)、聊天记录、银行详细信息(xi)等)可能会被泄露。
3.如何保护自己?
如前所述,如果您(nin)不(bu)想(xiang)将这些权限授予�������第三方(fang),最根本的解决方(fang)案是不(bu)下载(zai)该应用程(cheng)序。目前市场(chang)上有很多应用程(cheng)序,因此您(nin)很可能会找到(dao)需要较少访问权限的类似(si)应用程(cheng)序。
��������� 另一种(zhong)选(xuan)择(ze)是(shi)限制(zhi)对您已(yi)在设置面板(ban)中安装的应(ying)用(yo������ng)程(cheng)序(xu)的访问。但是(shi),您不能总是(shi)撤销这些权限,因为它们会影响应(ying)用(yong)程(cheng)序(xu)的运(yun)行。
它(ta)很(hen)可(ke)能(neng)与iOS相反。当应用程序������需要您(nin)未授予的(de)访(fang)问权��������限(xian)(xian)时(shi),会出现一(yi)个(ge)弹出窗口,提醒您(nin)该应用程序需要此(ci)类(lei)权限(xian)(xian)或该权限(xian)(xian)已(yi)被授予。它(ta)作为一(yi)种保护您(nin)的(de)隐(yin)私的(de)防火墙方法非常有(you)(you)效,尽管它(ta)有(you)(you)时(shi)会让人(ren)不舒服。
访问(wen)权限(xian)系统的(de)目的(de)是将应用程序开发(fa)人(ren)员的(������de)隐私控制传(chuan)递给用户。
4.那么应用程序开发人(ren)员可以做什么?
根据相关机(ji)构对应用(yong)程序(xu)安全及��������其(qi)隐(yin)私进行的一项研究(jiu),“开(kai��������)发人员急于(yu)在竞争对手之前(qian)发布他(ta)们的应用(yong)程序(xu),而忽略了(le)必须考虑(lv)的某些方(fang)面(mian),尤其(qi)是(shi)由应用(yong)程序(xu)。”
5.一些建议:
健康应用程(cheng)序(xu)(xu)是(shi)一个很好的例子,可以(yi)看(kan)出这种疏忽可能带来的后果(guo)的重要性。原因是(shi),他们处理数(shu)百名患者的个人(ren)和机(ji)密数(shu)据。程(cheng)序(xu)(xu)员(yuan)提出了一些“最佳(jia)实践(jian)”。远(yuan)程(cheng)医疗和电(dian)子健康小组的研(yan)究员(yuan)Borja Martínez制定了一�������份指南。这尤其(qi)适用于�������(yu)健康应用程(cheng)序(xu)(xu)编程(cheng)方面的专(zhuan)家。以(yi)下建议(yi)同样适用于(yu)任何(he)类型的应用程(cheng)序(xu)(xu)编程(cheng):
访(fang)问(wen�������)控制:以(yi)用户为中心,即始终存在允许或拒绝访(fang)问(wen)用户信息的可�����能(neng)性。
身份(fen)验证:通过只有用户知(zhi)道的唯一(yi)ID和密码。
安全性和保(bao)密性:�������强(qiang)烈建议使用AES(高级(ji)加密标准)和至少128位的(de)加密密码(ma)以(yi)确保(bao)安全。
完整性(xing):应使用基(ji)于(yu)对称密(mi������)(mi)码加密(mi)(mi)(如AES)的(de)验证码。����
用户信(xin)息(xi):在收(shou)集(ji)任何信(xin)息(xi)之前,所(suo)有应(ying)用程序都必须(xu)向其用户扩(kuo)展明确的(de)(de)(de)隐私(si)政(zheng)策(ce)。这(zhei)将确定(ding)谁将����使用数据、他们的(de)(de)(de)目的(de)(de)(de)、当前的(de)(de)(de)隐私(si)惯(guan)例、用户权(quan)利以及与开发人员(yuan)的(de)������(de)(de)联(lian)系(xi)表(biao)。
数据传输(shu):应用(yong)(y����ong)程序必须(xu)使用(yong)(yong)具有128位加(jia)密方法或虚拟专用(yong)(yong)网络(luo)的传输(shu)层安全性(TLS)。
������
数(shu)据保(bao)留:所(suo)有数(shu)据应(ying)仅在满足(zu)其规定的(de)存(cun)储(chu)目的(de)所(suo)需(xu)的(de)时间内(nei)存(cun)储(chu),而(er)不应(ying)长期存(cun)储(chu)。
与可穿戴设(she)备(bei)的通信(xin):在(zai)与可穿戴设(she)备(b�����ei)进(jin)行通信(xin)以进(jin)行设(she)备(bei)身份(fen)验证和(he)密码分发时(�������shi),应使用(yong)加(jia)密方(fang)法(fa)。
安(an)(an)全故障(zhang)提示(shi):一(yi)(yi)旦(dan)出现安(an)(an)全漏洞,开(kai)发者应(ying)第一(yi)(yi)时间(jian)通知主管部(bu)门和用(yo����ng)�����户。他们应(ying)该帮助后者将(jiang)同样的(de)故障(zhang)造成的(de)损害(hai)降(jiang)到(dao)最低(di)。
