如何排除恶意Android应用
Android权限对于开发者来说既是最好的朋友,也是最坏的敌人。即便是优秀且有信誉的应用开发人员和公司,也需要深度的Android权限以保证基础性的功能。另一方面,虽然Android恶意应用在安装之前会列出一长串的权限要求,很少有人谨慎的将它读完,以至于让恶意程序顺利的在我们自己的授权下进入到手机中。既然Android系统的这一双面剑式特征无法改变,那么我们应该如何做才能更放心一些呢?
仔细阅读权限列表
对于年轻人和熟悉深度Android用户来说,他们几乎都能在Android应用市场中找到安全的官方应用,但并不是所有人都能办到,况且还存在一些漏网之鱼。所以如果你力求绝对安全,那么每当你安装一个应用的时候,都应该阅读一下这个列表,知道安装它的实际意义。有时候一些应用要求相当多的权限仅仅是为了能够工作,就比如Gmail,但有些应用相对来讲要求较少,所以权限的多与少并不能评判一款应用是否是恶意应用。怎样辨别应用权限要求是否合理?比如一款短信应用,它需要读取手机短信、联系人这是没什么问题的,但如果一个单机游戏应用,还要求联系人和短信权限,那么就要注意了。
其实一般的应用还好,最需要注意的应该是那些要求Root的应用。当你Root了你的Android手机,就意味着你授予了这些应用更高级别的权限:深入到系统OS层面。所以每当有应用要求Root,那么你都要认真的考虑它们是否真的有这个必要。一些ROM管理器应用确实需要Root,因为他们要进入到手机系统中工作,但若是一个时钟应用,还要求启动Root,那在点击“允许”之前,你一定要确保自己明白它为什么需要Root。
当心那些没有任何理由就要求权限组合的应用
绝大多数情况下,单一的权限基本都是无害的,要求开放互联网权限也不会怎么样,可能是为了显示广告,而我们真正要当心的,应该是那些不管三七二十一就要求组合权限的应用。比如加入你安装了一款内置广告的文件浏览应用,它需要你的存储空间以及互联网权限,这种情况下是没有办法阻止应用将你手机的系统文件,包括相片等上传的。
所以即便是那些来源可靠的应用,当你看到长串权限列表的时候,你也要问问自己如下这些问题:
这个应用的开发者值得信赖吗?它看起来像恶意应用吗?
我清楚这个应用需要这些权限的原因吗?
开发者向我解释了这些应用为什么需要这些权限了吗?
如果这三个问题中有一个无法确定,那么你就要考虑是否真的需要这款应用了,即使是值得信赖的开发商推出的应用,也有可能收集大量的数据,无论是用户广告目的还是市场目的。倘若你看到一款应用来自于从未听到的开发者,且没有解释它需要这些权限的用途,那么最好远离它。
自己检测和检查应用程序权限
如果你真的很想安装一款应用,而它要求的权限中有一些是你不理解的,那么可以尝试下载一些专业的应用,去阻止侵入性应用盗取他们想要的用户信息,还有一些是可以监视你所安装的应用,看看它们是否在做一些见不得人的事情。例如:
PDroid Privacy Protection(需要Root)
这款应用可以检测其他应用的权限,并允许你通过或禁止操作。你可以为每款应用设置阻止前往个人信息,且不会破坏应用的进程。
LBE隐私卫士(需要Root)
这个应用有点像Android的防火墙,当一个应用试图获取你的数据的时候会提醒你,并让你做出允许或拒绝的决定。不过假如你否定了应用的某个权限,很有可能会造成应用的崩溃,所以我们在点击按键的时候一定要想好。另外,很多人更喜欢它的老版,新版本看似并没有得到Google Play的偏爱。
Permission Dog权限狗
这是一款国外媒体比较推崇的应用,因为通过它你可以一眼就能看出你安装的这些应用有多危险。只需要滑动滚动条就可以获知那个应用没问题,以及哪个应用需要多加留意。
Pocket Permissions掌上权限
Pocket Permissions是国外开发者推出的一个关于应用权限的解说教程,在可以帮助Android初学者的同时,也可以帮助对权限感兴趣的用户。比如它能告诉你每一个权限类型意味着什么,以及当这个权限被授权后能调取什么数据。此外,你还可以在Pocket Permissions中搜索权限,了解为什么应用需要这些权限,搜索哪些应用需要,它的风险或重要性等等。这真的是一部有价值的指南。
也许你会问,虽然中国的应用商店比较多,但多数都有安全认证机制,一些助手类工具甚至会联合多家安全机构进行多重认证,我们有必要非得去研究每个应用的权限吗?事实是这样的,由于应用的复杂性,每个安全认证机制都有自己的标准,所以并不能百分百确定它到底是不是安全的。比如在一次的数据分享会上,我们得到一组数据:腾讯认为有问题的应用中有28.1%的应用是360和LBE都认为安全的;360认为危险的应用中有29.1%的应用是腾讯和LBE都认为是安全的;而LBE认为危险的应用中有76.8%的应用是360和腾讯都认为是安全的。所以,在纷杂的Android世界中,我们自己去认知应用的各项权限,还是很有必要的。
