谷歌 Play 上的手电筒应用请求多达 77 项权限

2024-12-26 16:29:58

最近， FaceApp 在网路上受到广泛讨论，因为其背后的公司是俄罗斯的，而且这个应用程式要求获得访问照片等多种权限。显然，FaceApp 并不具恶意，虽然它引发了合理的隐私担忧。然而，这仅仅是特例，还是我们应该担心所有使用的应用程式呢？我所说的并不是跟踪软件stalkerware应用程式，例如最近几周我们揭露的这些，而是指数以百万计的看似无害的应用程式，这些应用程式可以在 Google Play 商店找到。

为了回答这个问题，我使用了我们的移动威胁情报平台 apklabio 来调查一款每隔一段时间就有数亿用户使用的应用程式：手电筒应用程式。几年前，这些应用程式需要用户下载，才能将手机变成手电筒，因为此功能并非设备的原生功能，但自从 Android Lollipop 版本以后，用户可以不需要特定的应用程式就能开启或关闭手电筒。然而，市场上仍然存在数百款手电筒应用程式。

梯子npv加速器

apklabio 包含了数千个手电筒应用程式，但我们专注于那些曾经出现在 Google Play 商店的应用程式。总共我找到了937款手电筒 Android 应用程式，它们曾经出现在商店或仍然在那里可用，其中七款被认为是恶意的或至少是潜在不受欢迎的，这意味著大部分这些应用程式是“干净的”。

现在，人们可能会认为这些应用程式所需的权限仅限于访问手机的手电筒、接入互联网以便应用程式可以显示内部广告以及锁屏访问以便应用可以在不解锁手机的情况下开关手电筒。然而，令人惊讶的真相是，手电筒应用程式所请求的平均权限数量是25 个！

当然，可能存在用户并不知晓的变量，这些是这些应用程式运行所需的权限，但如果408款应用程式需要的权限不超过10个，这似乎相当合理，那么为什么会有262款需要50个或以上权限其中77个仍然活跃呢？也许这些应用程式提供了更多功能，因此需要更多权限。担忧的焦点不仅在于权限的数量，而在于我们给予应用程式的访问权限。

在 Google Play 上请求最多权限的前10款应用程式

编号应用程式名称权限数量下载次数 1 Ultra Color Flashlight 77 100000 2 Super Bright Flashlight 77 100000 3 Flashlight Plus 76 1000000 4 Brightest LED Flashlight Multi LED amp SOS Mode 76 100000 5 Fun Flashlight SOS mode amp Multi LED 76 100000 6 Super Flashlight LED amp Morse code 74 1000000 7 FlashLight Brightest Flash Light 71 1000000 8 Flashlight for Samsung 70 500000 9 Flashlight Brightest LED Light amp Call Flash 68 1000000 10 Free Flashlight Brightest LED Call Screen 68 500000

相信我，手电筒应用程式请求的一些权限真的很难以解释，例如77款应用程式要求录音权限；180款要求读取联络人列表，甚至21款手电筒应用程式要求写入联络人。甚至有更不合理的权限请求，如下表所示：

谷歌 Play 上的手电筒应用请求多达 77 项权限

某些手电筒应用程式所需的权限

仔细看看这些权限，例如 KILLBACKGROUNDPROCESSES，这是非常强大的权限，并可能被滥用于恶意目的，例如，它可以用来终止安全应用程式。然而，某些手电筒应用程式的使用案例是为了减少电池消耗，以便用户能够更长时间使用该应用程式。

为了看看这些应用程式在做什么，我选择了一款名为“Flashlight”的应用程式，版本日期为2019年7月15日。该应用程式是一个典型的手电筒应用，具有预期的功能：

并没有什么特别的，所以人们会假设它只会请求有限数量的权限。事实上，应用程式开发者在该应用的 Google Play 页面上明确指出：

你不能总是相信你所读到的。实际上，该应用请求61个权限。我在 apklabio 中处理并对这些权限进行分组，以查看是否存在安全风险。值得注意的是，仅仅因为应用请求这些权限并不意味著它是恶意的，但这意味著如果用户授予这些权限，该应用则有能力执行以下操作：

apklabio 分析应用所需的权限并指出潜在风险

在这里，你可以看到所有由 apklabio 提供的资讯。应用开发者通常选择与合作伙伴合作，以显示广告或其他方式获得收益，以提供免费的应用程式。除显示广告外，还有其他一些不那么明显的方法，允许合作伙伴赚钱：收集数据。

我将 apklabio 中的资讯进行交叉参考，以寻找请求与前面截图中展示的相同活动的应用程式，我找到了 208个 APK。大多数 APK 是同一应用的不同版本，目前 Google Play 商店中有十款应用的下载次数超过两百万。

根据 Google Play 商店显示的开发者 ID，这些应用背后有五个不同的开发者团队，然而根据我的研究，我可以确认至少其中一些是相同的，只是使用了不同的开发者 ID。这似乎是一个开发者或开发者集团，他们有一套变现系统，在收集用户数据并与合作伙伴共享数据。

在安装应用程式之前检查其请求的权限是必须的，如果我们不理解或不舒服，则不应安装。然后是隐私政策，这应该为用户提供应用开发者将如何处理我们数据的概览，但在许多情况下，这些政策或多或少是无用的。并不是因为用户可能不去阅读它们，而是因为它们可能不是包罗万象的。下面是 Google Play 商店中一个手电筒应用的隐私政策截图，其中开发者链接到他们合作伙伴的其他隐私政策：

对于这样的应用程式，存在一个很大的灰色地带，这就是为什么我们不会将它们全部标记为恶意。尽管它们要求不合理的权限，但并不会执行任何恶意行为，并且它们是在请求用户授予这些权限。然而，这不意味著它们完全无辜，或第三方不会从用户设备中收集数据。但再说一次，当用户安装应用程式时，他们授予该应用及其任何相关第三方执行应用所列权限的权利。

因此，了解用户在安装应用程式之前仔细检查应用请求的权限是至关重要的。

订阅