安卓獲權(quán)獲取的技術(shù)原理

引言

安卓系統(tǒng)自誕生以來(lái)就以高度的開(kāi)放性著稱，安卓系統(tǒng)的開(kāi)放性也幫助安卓系統(tǒng)在短時(shí)間內(nèi)獲得了巨大的市場(chǎng)份額。

安卓系統(tǒng)給予應(yīng)用開(kāi)發(fā)者比較寬松的系統(tǒng)權(quán)限獲取環(huán)境，有效拓展了應(yīng)用開(kāi)發(fā)的靈活度，打破了一些不必要的局限，但安卓系統(tǒng)在權(quán)限管理的開(kāi)放性也帶來(lái)了一些安全問(wèn)題。

一些惡意軟件利用安卓系統(tǒng)在權(quán)限管理上的開(kāi)放性通過(guò)獲取大量非必要權(quán)限的方式收集用戶個(gè)人信息、惡意吸費(fèi)甚至傳播病毒木馬。

安卓應(yīng)用超越必要限度獲取系統(tǒng)權(quán)限將導(dǎo)致用戶個(gè)人信息泄露，根據(jù)騰訊與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2017年度網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為分析報(bào)告》顯示，2017年下半年，安卓手機(jī)應(yīng)用中有98.5%的應(yīng)用都要獲取用戶隱私權(quán)限，其中越界獲權(quán)的情況占比在9%。

媒體對(duì)安卓應(yīng)用惡意獲取系統(tǒng)權(quán)限多次報(bào)道，多地消費(fèi)者保護(hù)委員會(huì)也嘗試通過(guò)約談等方式對(duì)任意獲取非必要權(quán)限的情況進(jìn)行曝光監(jiān)督。

手機(jī)應(yīng)用“越界獲權(quán)”已經(jīng)成為個(gè)人信息泄露的主要渠道之一，并由此衍生出規(guī)模龐大的網(wǎng)絡(luò)黑產(chǎn)。

1、安卓獲權(quán)獲取的技術(shù)原理

(一)以Manifest文件為基礎(chǔ)

安卓應(yīng)用獲取系統(tǒng)權(quán)限必須先在應(yīng)用的AndroidManifest.xml文件中進(jìn)行聲明。Manifest文件位于應(yīng)用軟件根目錄下，是安卓應(yīng)用軟件的全局配置文件，描述了安裝包中的全局?jǐn)?shù)據(jù)。

該文件提供了安卓系統(tǒng)所需要的關(guān)于該應(yīng)用程序的必要信息。

比如：為應(yīng)用軟件指定唯一的名字;描述應(yīng)用軟件所包括的成分，如activities, services, broadcast receivers和content providers等內(nèi)容;聲明應(yīng)用軟件正常運(yùn)行所需要的權(quán)限，如讀寫SD卡權(quán)限等;聲明應(yīng)用程序的安卓API級(jí)別，低于該級(jí)別的系統(tǒng)不能運(yùn)行該程序;聲明應(yīng)用程序支持的分辨率等。

為獲得保證正常運(yùn)行的權(quán)限，安卓應(yīng)用軟件開(kāi)發(fā)者需要在軟件中的AndroidManifest.xml文件中寫入確保正常運(yùn)行和功能實(shí)現(xiàn)的所有權(quán)限，并向安卓系統(tǒng)進(jìn)行權(quán)限聲明。

安卓系統(tǒng)讀取到安卓應(yīng)用軟件的AndroidManifest.xml后會(huì)按照系統(tǒng)規(guī)則向該應(yīng)用軟件開(kāi)放所有其聲明的權(quán)限;未向安卓系統(tǒng)聲明的權(quán)限，安卓系統(tǒng)將不會(huì)向該應(yīng)用軟件開(kāi)放，應(yīng)用軟件的相關(guān)功能將會(huì)受限。

例如當(dāng)應(yīng)用軟件需要執(zhí)行調(diào)整屏幕亮度的操作時(shí)，則需要在AndroidManifest.xml寫入獲得調(diào)整屏幕亮度的權(quán)限聲明，否則應(yīng)用軟件中與調(diào)整屏幕亮度的代碼將不能被執(zhí)行。

(二)安卓系統(tǒng)權(quán)限授權(quán)管理的變化

▌1、安卓4.4之前，任意獲取模式

在安卓4.4版本之前，安卓系統(tǒng)對(duì)應(yīng)用的授權(quán)模式可以概括為：只要在Manifest文件中聲明，開(kāi)發(fā)者可以任意獲取權(quán)限，用戶無(wú)法對(duì)權(quán)限進(jìn)行管理。

應(yīng)用安裝前，安卓系統(tǒng)會(huì)根據(jù)權(quán)限聲明展示權(quán)限列表，用戶查看并同意該權(quán)限列表后完成安裝。安裝完成后，該應(yīng)用軟件就可以成功獲得所聲明的全部權(quán)限。

安卓系統(tǒng)并不對(duì)權(quán)限進(jìn)行分類，也不對(duì)應(yīng)用軟件開(kāi)發(fā)者、應(yīng)用軟件獲取權(quán)限的必要性進(jìn)行審查。用戶在安裝過(guò)程中只能選擇接受該應(yīng)用聲明的全部權(quán)限，否則就不能繼續(xù)安裝。

▌2、安卓4.4版本，隱藏的權(quán)限管理模式

在安卓4.4版本中，谷歌依舊保持了應(yīng)用軟件在安裝時(shí)可以任意獲取權(quán)限的做法。但是，在安卓系統(tǒng)中增加了權(quán)限管理的功能，只是該功能處于隱藏狀態(tài)，需要用戶安裝App Permission才能進(jìn)行管理。

國(guó)內(nèi)的部分廠商在定制自己的安卓系統(tǒng)的過(guò)程中將該功能加入到系統(tǒng)設(shè)置中。用戶可以在用戶設(shè)置中對(duì)應(yīng)用軟件進(jìn)行權(quán)限管理，關(guān)閉不需要的應(yīng)用權(quán)限。

▌3、安卓5.0版本，明確的管理模式

在安卓5.0版本中，安卓系統(tǒng)增加了在應(yīng)用安裝過(guò)程中對(duì)應(yīng)用軟件的權(quán)限進(jìn)行選擇的功能。在應(yīng)用安裝環(huán)節(jié)，系統(tǒng)會(huì)彈出一個(gè)可勾選的權(quán)限設(shè)置項(xiàng)，用戶可以根據(jù)需要關(guān)閉應(yīng)用默認(rèn)獲取的權(quán)限。用戶選擇取消的權(quán)限，應(yīng)用軟件將不會(huì)獲取。

▌4、安卓6.0版本，對(duì)權(quán)限進(jìn)行分類管理的模式

由于安卓6.0之前的安卓系統(tǒng)存在“越界獲權(quán)”的問(wèn)題，為了更好地保護(hù)用戶隱私，谷歌公司在安卓6.0版本中提出了新的權(quán)限管理機(jī)制，將權(quán)限分為兩大類：

安卓系統(tǒng)對(duì)危險(xiǎn)權(quán)限進(jìn)行了歸類，并分為不同的權(quán)限組(Permission Group)。如果應(yīng)用軟件獲取了權(quán)限組中某一個(gè)權(quán)限，則整個(gè)權(quán)限組下的權(quán)限均被授權(quán)，應(yīng)用軟件可以直接調(diào)用該權(quán)限組的權(quán)限并實(shí)施相應(yīng)行為。安卓6.0版本中的危險(xiǎn)權(quán)限分類如下：

▌5、安卓6.0之后，進(jìn)一步強(qiáng)化權(quán)限的授權(quán)要求

在安卓6.0版本中，應(yīng)用獲得權(quán)限組中某一個(gè)權(quán)限后可以獲得整組的權(quán)限，范圍仍較廣。

在安卓8.0版本中，安卓系統(tǒng)對(duì)此進(jìn)行了調(diào)整，安卓系統(tǒng)將只向明確請(qǐng)求獲取的權(quán)限進(jìn)行授權(quán)，但對(duì)同一權(quán)限組中且明確向系統(tǒng)聲明的權(quán)限都將被自動(dòng)授權(quán)，不再額外提示;若沒(méi)有請(qǐng)求相應(yīng)的權(quán)限，該權(quán)限對(duì)應(yīng)的操作將會(huì)失效。

谷歌公司表示，在安卓9.0版本中會(huì)細(xì)化權(quán)限保護(hù)，針對(duì)設(shè)備傳感器權(quán)限、從Wi-Fi掃描中獲取位置信息以及獲取電話狀態(tài)等相關(guān)權(quán)限規(guī)則進(jìn)行調(diào)整，以便更好地保障用戶隱私。

2、安卓權(quán)限獲取中的法律合規(guī)要求

(一)遵守權(quán)限獲取的原則

對(duì)于應(yīng)用軟件開(kāi)發(fā)者而言，正確獲取系統(tǒng)權(quán)限是運(yùn)營(yíng)合規(guī)的第一步，應(yīng)用軟件開(kāi)發(fā)者應(yīng)當(dāng)審慎處理獲取系統(tǒng)權(quán)限的問(wèn)題?！毒W(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”。

本條明確了網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。雖然獲取權(quán)限并不同于收集、使用用戶的個(gè)人信息，但是獲取權(quán)限潛在地會(huì)影響到用戶個(gè)人信息和隱私，因此，獲取權(quán)限也需要遵守合法、正當(dāng)、必要的原則。

具體來(lái)說(shuō)，(1)合法原則是指獲取權(quán)限的過(guò)程中，需要遵守法律的規(guī)定，對(duì)于法律明確規(guī)定的需要獲得用戶同意的權(quán)限，需要遵守法律的規(guī)定;不得通過(guò)欺騙、誘騙等方式獲取安卓系統(tǒng)權(quán)限。

(2)正當(dāng)原則是指應(yīng)用軟件獲取安卓系統(tǒng)相關(guān)權(quán)限需要具有正當(dāng)目的，所獲取的權(quán)限只能用于實(shí)現(xiàn)產(chǎn)品功能;不能將獲取的權(quán)限使用在與產(chǎn)品功能無(wú)關(guān)的用途，如獲得錄音權(quán)限后，偷錄用戶的錄音。

(3)必要原則是指獲取的權(quán)限應(yīng)當(dāng)與實(shí)現(xiàn)產(chǎn)品功能有直接關(guān)聯(lián)，若未獲取該權(quán)限，則產(chǎn)品功能無(wú)法實(shí)現(xiàn)，不能超越范圍索取與自身產(chǎn)品功能無(wú)關(guān)的權(quán)限，如手電筒應(yīng)用獲取讀取通訊錄的權(quán)限。

但是，一些應(yīng)用開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中并不注意遵守權(quán)限獲取的合法、正當(dāng)、必要原則，甚至通過(guò)惡意獲取大量非必要權(quán)限來(lái)收集用戶個(gè)人信息，向第三方出售，甚至走上了犯罪的道路，受到了法律的懲罰。

(二)保障用戶知情同意

▌1、對(duì)危險(xiǎn)權(quán)限的告知和同意

對(duì)于獲取危險(xiǎn)權(quán)限的情況，應(yīng)當(dāng)遵守法律的規(guī)定，履行告知義務(wù)并取得用戶同意。在安裝過(guò)程中，系統(tǒng)會(huì)提示應(yīng)用獲取的權(quán)限列表，用戶可以在安裝環(huán)節(jié)對(duì)特定權(quán)限執(zhí)行開(kāi)啟、提示、關(guān)閉操作。

對(duì)于不同意開(kāi)啟的權(quán)限，用戶可以對(duì)該權(quán)限進(jìn)行關(guān)閉，與該權(quán)限相關(guān)的功能將會(huì)受到影響。在使用過(guò)程中，應(yīng)用軟件的功能需要使用到危險(xiǎn)權(quán)限時(shí)，系統(tǒng)會(huì)彈出提示告知用戶。

此外，按照《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》第七條的規(guī)定，應(yīng)用軟件在獲取錄音、攝像頭、地理位置、通訊錄等權(quán)限也需要自己彈框告知用戶獲取權(quán)限的目的，并獲取用戶的用意。即此時(shí)需要應(yīng)用軟件先彈窗告知用戶，再由安卓系統(tǒng)動(dòng)態(tài)授權(quán)。

基于安卓系統(tǒng)擁有比應(yīng)用軟件更高的權(quán)限，用戶的同意權(quán)保障更多的是通過(guò)安卓系統(tǒng)的提示和設(shè)置來(lái)實(shí)現(xiàn)的。系統(tǒng)彈出提示告知用戶后，用戶有權(quán)進(jìn)行選擇是否同意應(yīng)用軟件獲取該權(quán)限。

用戶確認(rèn)同意后，應(yīng)用軟件會(huì)獲得該權(quán)限;如果用戶事后需要管理權(quán)限的話，可以到系統(tǒng)設(shè)置中對(duì)應(yīng)用獲取的權(quán)限進(jìn)行管理，保障用戶的同意權(quán)。

▌2、對(duì)普通權(quán)限的告知

對(duì)于普通權(quán)限，安卓系統(tǒng)的權(quán)限管理機(jī)制要求應(yīng)用軟件開(kāi)發(fā)者在AndroidManifest.xml文件中向系統(tǒng)聲明，安卓系統(tǒng)即向應(yīng)用軟件開(kāi)放其聲明的權(quán)限，并且系統(tǒng)層不會(huì)明示向用戶進(jìn)行提示。

普通權(quán)限不涉及用戶的個(gè)人信息，過(guò)多的彈窗和提示反而會(huì)增加用戶的時(shí)間成本，給用戶造成困擾，并且用戶在使用普通權(quán)限的功能時(shí)(如調(diào)整屏幕亮度)能夠明確知曉應(yīng)用軟件獲取了安卓系統(tǒng)的該項(xiàng)權(quán)限。

因此，筆者認(rèn)為對(duì)普通權(quán)限的獲取，應(yīng)用軟件可以不單獨(dú)告知用戶。

(三)《服務(wù)協(xié)議》《隱私政策》的展示

基于告知用戶，保障用戶知情同意的合規(guī)性要求，需要在應(yīng)用的相關(guān)文檔中展示有關(guān)權(quán)限的內(nèi)容。這些內(nèi)容可以體現(xiàn)在《服務(wù)協(xié)議》或《隱私政策》中，也可以通過(guò)單獨(dú)的方式告知。

用戶在首次打開(kāi)應(yīng)用軟件時(shí)，閃屏頁(yè)面會(huì)出現(xiàn)展示《服務(wù)協(xié)議》《隱私政策》的鏈接，用戶可以點(diǎn)擊瀏覽服務(wù)協(xié)議和隱私政策的全部?jī)?nèi)容。

《服務(wù)協(xié)議》《隱私政策》是應(yīng)用軟件開(kāi)發(fā)者與用戶之間訂立的格式合同。在來(lái)云鵬訴北京四通利方信息技術(shù)有限公司服務(wù)合同糾紛二審案中，法院認(rèn)為，根據(jù)我國(guó)《合同法》規(guī)定，格式合同如果不存在法律規(guī)定的無(wú)效情形，應(yīng)當(dāng)自始有效。

安卓應(yīng)用開(kāi)發(fā)完成后，應(yīng)當(dāng)在應(yīng)用軟件安裝和使用的過(guò)程中向用戶展示《服務(wù)協(xié)議》《隱私政策》或提供查看的鏈接。《服務(wù)協(xié)議》《隱私政策》中展示的內(nèi)容應(yīng)當(dāng)清楚明白，避免使用模糊的表述。

除此以外，應(yīng)用軟件中應(yīng)當(dāng)完整展示《服務(wù)協(xié)議》《隱私政策》的全部?jī)?nèi)容，注意超鏈接點(diǎn)擊進(jìn)入后的內(nèi)容是否與正式版本一致。

一些應(yīng)用會(huì)在形式上設(shè)置《隱私政策》的超鏈接入口，但是無(wú)法跳轉(zhuǎn)或跳轉(zhuǎn)后的內(nèi)容與隱私政策無(wú)關(guān)。

在展示的方式上，在安裝環(huán)節(jié)，可以在首次啟動(dòng)的閃屏也向用戶進(jìn)行展示;使用過(guò)程中，可以在應(yīng)用軟件的“設(shè)置-關(guān)于”界面中配置《服務(wù)協(xié)議》《隱私政策》的鏈接，供用戶點(diǎn)擊查看。從保障用戶知情的角度，也可以通過(guò)彈框的方式告知用戶。

(四)不得濫用獲取的權(quán)限

在獲取安卓系統(tǒng)授權(quán)的相關(guān)權(quán)限后，惡意應(yīng)用會(huì)濫用獲取的權(quán)限，給用戶個(gè)人信息帶來(lái)巨大的安全隱患。

一些惡意應(yīng)用會(huì)讀取設(shè)備中的聯(lián)系人信息、照片等，造成用戶個(gè)人信息泄露;惡意應(yīng)用通過(guò)短信權(quán)限，來(lái)實(shí)施吸費(fèi)、惡意扣費(fèi);收集到的聯(lián)系人信息可以用來(lái)實(shí)施網(wǎng)絡(luò)詐騙等。

還有的情況是，惡意應(yīng)用在通過(guò)實(shí)時(shí)在線讀取可以滿足功能的前提下，強(qiáng)制將用戶設(shè)備中的信息上傳至自己的服務(wù)器;在信息傳輸?shù)倪^(guò)程中，不采取加密措施，或者加密級(jí)別應(yīng)當(dāng)是易被破解的級(jí)別，增加了數(shù)據(jù)被截獲而泄露的風(fēng)險(xiǎn)。

這些都是濫用獲取的安卓權(quán)限的表現(xiàn)，從保護(hù)用戶權(quán)益的角度，安卓應(yīng)用應(yīng)當(dāng)避免濫用獲取到的權(quán)限，做到有的放矢的獲取和使用。

3、對(duì)完善安卓應(yīng)用獲取及使用系統(tǒng)權(quán)限的建議