Может ли приложение со следующими разрешениями украсть пользовательские данные?

Я хотел бы использовать приложение , которое может затемнить мой экран (AMOLED), чтобы оно почти не потребляло энергии (конечно, во время работы приложения, которое нельзя запускать в фоновом режиме). Приложение имеет и другие функции, такие как затемнение, управляемое датчиком приближения.

Чтобы приложение могло предоставлять все функции, его необходимо включить в качестве службы специальных возможностей (например, такие службы могут блокировать использование кнопки «Недавние» и т. д.). Службы специальных возможностей могут отслеживать взаимодействие пользователей и наблюдать за тем, что он (она) печатает. Это угроза безопасности (подумайте о кейлоггере).

Глядя на файл манифеста, требуются следующие разрешения: RECEIVE_BOOT_COMPLETED, VIBRATE, SYSTEM_ALERT_WINDOW, BIND_ACCESSIBILITY_SERVICE, USE_FINGERPRINT, BILLING. Насколько я понимаю, при отсутствии доступа к сети это приложение (или, по крайней мере, эта версия) не может отправлять пользовательские данные куда угодно, поэтому оно не может ничего украсть. Это правильно?

Любые другие связанные комментарии приветствуются.

Насколько я знаю, он не может сделать это скрытно , но все же может использовать намерения, предоставляемые другими приложениями, которые имеют сетевые разрешения, такими как, например, браузер. Хотя теоретически это было бы возможно, на практике я никогда не слышал, чтобы приложение делало это. Кроме того, если присутствует другое приложение того же разработчика, данные могут быть переданы ему.
Но если он попытается использовать намерения, то я замечу «что-то», не так ли? Могу ли я каким-то образом заблокировать намерения, исходящие от этого приложения? У того же разработчика нет других приложений, а на моем мобильном телефоне есть очень ограниченный набор приложений, созданных известными крупными разработчиками, такими как Google, Samsung, Facebook. Как именно может происходить этот обмен данными?
Как я уже писал, я не помню, чтобы слышал о таком случае, но технически это возможно. И если он, например, будет использовать браузер, это должно быть записано в истории браузера. Если бы вам довелось посмотреть на свой экран в этот самый момент, вы бы это заметили. Я думаю, поскольку это можно было обнаружить таким образом, это почти никогда не пытались. И, как указал acejavelin в своем ответе, это BIND_ACCESSIBILITY_SERVICEможет представлять дополнительные риски.
Да, но я так понимаю, что BIND_ACCESSIBILITY_SERVICEбез доступа к сети (кроме намерений и других возможностей, которые мы обсуждали ранее) невозможно отправить какие-либо данные на внешнюю работу и, следовательно, нельзя ничего украсть.
Правильно. Я должен был написать «дополнительные риски, кроме этого» ;) Это может быть использовано, например, для «удаленного управления» другими приложениями и нажатия их кнопок.

Ответы (1)

Да, это потенциально может украсть ваши данные...

BIND_ACCESSIBILITY_SERVICE может быть опасным разрешением, поскольку оно может позволить приложению просматривать данные в любом активном окне и любые данные, которые вы вводите, среди прочего. Дополнительную информацию можно найти здесь .

На информационной странице приложения, на которое вы ссылаетесь, четко указано, как это разрешение используется и почему оно необходимо для такого рода приложений (престижность разработчику, многие приложения не объясняют, почему они запрашивают опасные разрешения, иногда намеренно). Лучше всего посмотреть обзоры на наличие потенциальных «проблем», которые, похоже, не относятся к этому приложению.

Имейте в виду, что, хотя многие приложения имеют разрешение на «кражу» вашей информации, законные приложения, как правило, не делают этого без четкого указания на это в своих условиях.

Остальные разрешения в основном безобидные...

  • RECEIVE_BOOT_COMPLETED — не требует пояснений
  • ВИБРАЦИЯ - не требует пояснений
  • SYSTEM_ALERT_WINDOW — позволяет приложениям создавать окна поверх других приложений.
  • USE_FINGERPRINT — позволяет приложению использовать оборудование сканера отпечатков пальцев (но не данные отпечатков пальцев, так что довольно безопасно)

  • БИЛЛИНГ – позволяет совершать покупки в приложении.

    Источник

Я не верю, что доступ к сети должен быть определен неявно, но я могу ошибаться... Это должно было бы подразумеваться с разрешением «BILLING», хотя у меня нет ссылки на это.

Кажется, что интернет-разрешение неявно существует (в манифесте) годами. Как вы думаете, будет ли достаточно заблокировать доступ приложения к сети с помощью стороннего приложения? (вид брандмауэра)
@user1724641 user1724641 Если я думаю, что это делает приложение, я избавляюсь от приложения, а не пытаюсь его остановить. Помните, что хотя некоторые разрешения могут быть использованы злонамеренно, законные приложения используют их надлежащим образом.
Я не думаю, что это приложение сделало бы это, основываясь на обзорах (оценка и текст) и «рабочем заявлении» разработчика. Однако никогда нельзя быть достаточно подозрительным, когда дело доходит до личных/финансовых данных. Должны быть приняты меры предосторожности — все же лучше, чем быть полностью потерянными, когда банковские данные попадут в руки хакеров. С другой стороны, мне также нужна функция отключения экрана.
@acejavelin BILLINGразрешение НЕ подразумевает сетевые разрешения (и да, последние по-прежнему требуются явно, хотя приложение Playstore не перечисляет их как «нормальные», нет ничего похожего на «неявное разрешение INTERNET»). Посмотрите его полное имя, и вы выяснится, что оно предоставляется приложением Playstore ( …vending.BILLING), которое имеет доступ к сети. // Кроме того, более подробную информацию о разрешениях можно найти в моем списке разрешений , часто с некоторым дополнительным контекстом ;)
Может ли приложение со следующими разрешениями украсть пользовательские данные?
СпросиСетьПолитика конфиденциальности1y, 0v