Tổng quan về permission trên Android

Thảo luận trong 'Infrastructure security' bắt đầu bởi whf, 15/11/21, 09:11 PM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,182
    Đã được thích: 763
    Điểm thành tích:
    113
    Khi bạn cài đặt một ứng dụng Android, tùy ứng dụng sẽ yêu cầu những quyền (permission) khác nhau. Việc sử dụng và cấp quyền không hợp lí cho những ứng dụng độc hại thì có thể dẫn đến mất an toàn thông tin, dữ liệu, thông tin riêng tư bị đánh cắp. Do đó bài viết này sẽ giới thiệu về các quyền trên Android giúp người dùng có thể hiểu và cấp quyền hợp lí cũng như cân nhắc không sử dụng các ứng dụng độc hại.

    upload_2021-11-15_21-55-4.png

    Một ứng dụng yêu cầu những quyền hoàn toàn không liên quan đến tính năng của ứng dụng đó thì người dùng nên cẩn thận khi cấp quyền/sử dụng.

    Ví dụ: một ứng dụng chặn tin nhắn rác nhưng lại yêu cầu hàng loạt quyền/nhóm quyền như: Location, Camera, Microphone... Đây là những quyền nhạy cảm nên người dùng sẽ cần cân nhắc.

    Các quyền/nhóm quyền và ý nghĩa:

    In-app purchases:
    Ứng dụng có thể mời bạn mua hàng bên trong ứng dụng

    Device & app history:

    Ứng dụng có thể thực hiện một hoặc nhiều chức năng sau:
    • Đọc dữ liệu nhật ký nhạy cảm
    • Truy xuất trạng thái bên trong của hệ thống
    • Đọc lịch sử và dấu trang web của bạn
    • Truy xuất các ứng dụng đang chạy
    Cellular data settings:
    Ứng dụng có thể sử dụng cài đặt kiểm soát kết nối dữ liệu di động của bạn và có thể cả dữ liệu mà bạn nhận được.

    Identity:

    Ứng dụng có thể sử dụng thông tin tiểu sử và/hoặc tài khoản trên thiết bị của bạn. Quyền truy cập danh tính có thể bao gồm:
    • Tìm tài khoản trên thiết bị
    • Đọc thẻ liên hệ của riêng bạn (ví dụ: tên và thông tin liên hệ)
    • Sửa đổi thẻ liên hệ của riêng bạn
    • Thêm hoặc xóa tài khoản

    Contacts:

    Một ứng dụng có thể sử dụng danh bạ trên thiết bị của bạn. Điều này có thể bao gồm khả năng đọc và sửa đổi địa chỉ liên hệ của bạn.

    Calendar:

    Một ứng dụng có thể sử dụng thông tin lịch trên thiết bị của bạn. Điều này có thể bao gồm:
    • Đọc các sự kiện lịch và thông tin bí mật
    • Thêm hoặc sửa đổi các sự kiện trên lịch và gửi email cho khách mà chủ sở hữu không hề biết
    Location:
    Ứng dụng có thể sử dụng vị trí trên thiết bị của bạn. Quyền truy cập vị trí có thể bao gồm:
    • Vị trí gần đúng (dựa vào mạng)
    • Vị trí chính xác (dựa vào mạng và GPS)
    • Truy cập vào các lệnh bổ sung của nhà cung cấp vị trí
    • Quyền truy cập GPS
    SMS:
    Ứng dụng có thể sử dụng dịch vụ nhắn tin văn bản (SMS) và/hoặc dịch vụ nhắn tin đa phương tiện (MMS) trên thiết bị của bạn. Nhóm này có thể bao gồm khả năng sử dụng tin nhắn văn bản, hình ảnh hoặc video.

    Quan trọng: Tùy thuộc vào gói dịch vụ của bạn, nhà cung cấp dịch vụ có thể tính phí bạn đối với tin nhắn văn bản hoặc tin nhắn đa phương tiện. Quyền truy cập SMS có thể bao gồm khả năng:
    • Nhận tin nhắn văn bản (SMS)
    • Đọc tin nhắn văn bản của bạn (SMS hoặc MMS)
    • Nhận tin nhắn văn bản (MMS, như tin nhắn hình ảnh hoặc video)
    • Chỉnh sửa tin nhắn văn bản của bạn (SMS hoặc MMS)
    • Gửi tin nhắn SMS; bạn có thể bị tính phí khi sử dụng dịch vụ này
    • Nhận tin nhắn văn bản (WAP)
    Phone:
    Một ứng dụng có thể sử dụng điện thoại của bạn và/hoặc lịch sử cuộc gọi của điện thoại. Tùy thuộc vào gói dịch vụ của bạn, nhà cung cấp dịch vụ có thể tính phí bạn đối với các cuộc gọi điện thoại. Quyền truy cập điện thoại có thể bao gồm khả năng:
    • Gọi trực tiếp đến số điện thoại; bạn có thể bị tính phí khi sử dụng dịch vụ này
    • Ghi nhật ký cuộc gọi (ví dụ: lịch sử cuộc gọi)
    • Đọc nhật ký cuộc gọi
    • Định tuyến lại cuộc gọi đi
    • Sửa đổi trạng thái điện thoại
    • Thực hiện cuộc gọi mà không cần sự can thiệp của bạn
    Photos/Media/Files:
    Một ứng dụng có thể sử dụng các tệp hoặc dữ liệu được lưu trữ trên thiết bị của bạn. Quyền truy cập Ảnh/Phương tiện/Tệp có thể bao gồm khả năng:
    • Đọc nội dung trong bộ nhớ USB của bạn (ví dụ: thẻ SD)
    • Sửa đổi hoặc xóa nội dung trong bộ nhớ USB của bạn
    • Định dạng bộ nhớ ngoài
    • Gắn hoặc tháo bộ nhớ ngoài
    Camera:
    Ứng dụng có thể sử dụng máy ảnh trên thiết bị của bạn. Quyền truy cập máy ảnh có thể bao gồm khả năng:
    • Chụp ảnh và quay video
    • Quay video
    Microphone:
    Ứng dụng có thể sử dụng micrô trên thiết bị của bạn. Quyền truy cập micrô có thể bao gồm khả năng ghi âm.

    Wi-Fi connection information:

    Ứng dụng có thể truy cập vào thông tin kết nối Wi-Fi trên thiết bị của bạn, như Wi-Fi được bật hay chưa và tên của (các) thiết bị được kết nối. Quyền truy cập thông tin kết nối Wi-Fi có thể bao gồm khả năng xem các kết nối Wi-Fi.

    Lưu ý: Vì các ứng dụng thường truy cập Internet nên bạn sẽ chỉ nhìn thấy nhóm quyền đối với thông tin kết nối Wi-Fi trên màn hình tải xuống khi cài đặt ứng dụng.

    Bluetooth connection information:
    Một ứng dụng có thể kiểm soát Bluetooth trên thiết bị của bạn, bao gồm phát sóng hoặc nhận thông tin về các thiết bị Bluetooth ở gần.

    Wearable sensors/activity data:
    Cho phép ứng dụng truy cập dữ liệu từ các cảm biến có thể đeo, chẳng hạn như máy theo dõi nhịp tim. Có thể nhận được thông tin cập nhật định kỳ về các mức độ hoạt động thể chất.

    Device ID & call information:
    Ứng dụng có thể truy cập vào (các) ID thiết bị, số điện thoại, xem bạn có đang gọi điện thoại hay không và số điện thoại mà cuộc gọi kết nối. Quyền truy cập ID thiết bị và thông tin cuộc gọi có thể bao gồm khả năng đọc trạng thái điện thoại và danh tính.

    Other:
    Ứng dụng có thể sử dụng cài đặt tùy chỉnh do nhà sản xuất thiết bị cung cấp hoặc các quyền dành riêng cho ứng dụng.

    Quan trọng: Nếu ứng dụng thêm quyền có trong nhóm "Other" thì bạn sẽ luôn được yêu cầu xem xét thay đổi trước khi tải xuống nội dung cập nhật.

    Quyền truy cập khác có thể bao gồm khả năng:
    • Đọc luồng xã hội của bạn (trên một số mạng xã hội).
    • Ghi vào luồng xã hội của bạn (trên một số mạng xã hội).
    • Truy cập nguồn cấp dữ liệu đã đăng ký.
    Bạn sẽ thấy tất cả các quyền trong nhóm "Khác" được liệt kê trên Play Store, bao gồm cả các quyền không được hiển thị trên màn hình tải xuống ứng dụng.

    Tham khảo: https://developer.android.com/guide/topics/permissions/overview
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. DDos
  2. WhiteHat Team
  3. WhiteHat Team
  4. ToanDV
  5. WhiteHat News #ID:3333