大多數(shù)Android flashlight應(yīng)用程序需要的權(quán)限數(shù)量非常多

數(shù)百個(gè)Android手電筒應(yīng)用程序在每次安裝時(shí)都請求大量的許可，而在絕大多數(shù)情況下，卻沒有提供所需的功能作為回報(bào)。

一位廣袤的安全布道者路易斯·科隆(LuisCorrons)說，他測試了所有上傳到游戲商店的Android手電筒應(yīng)用程序。他總共發(fā)現(xiàn)了937個(gè)應(yīng)用程序，其中7個(gè)完全是惡意的。

在其他方面，科龍說，絕大多數(shù)人要求有大量的權(quán)限，每個(gè)應(yīng)用程序的平均權(quán)限為25個(gè)。

這個(gè)數(shù)字看起來很小，但實(shí)際上相當(dāng)大。手電筒應(yīng)用程序不需要這么多權(quán)限。大多數(shù)Android用戶甚至不再需要它們了，更不用說要求更多的許可了。

在Android的早期，手電筒應(yīng)用程序風(fēng)靡一時(shí)，當(dāng)時(shí)開發(fā)者們發(fā)現(xiàn)他們可以將手機(jī)的閃光燈轉(zhuǎn)換成始終開著的手電筒。然而，自2014年以來，Android 5(Lolliop)推出了內(nèi)置手電筒功能。

擁有現(xiàn)代智能手機(jī)的用戶不需要手電筒應(yīng)用程序，但老設(shè)備的用戶仍然依賴手電筒應(yīng)用程序。然而，其中一些手電筒應(yīng)用程序所要求的許可數(shù)量近乎荒謬。

科隆在本周發(fā)布的一份報(bào)告中表示：“一般用戶可能不知道這些應(yīng)用程序運(yùn)行所需的變量，但如果408個(gè)應(yīng)用程序只需要10個(gè)或更少的權(quán)限，這似乎是相當(dāng)合理的，為什么會有262個(gè)應(yīng)用程序需要50個(gè)或更多的權(quán)限?！?/p>

這位廣袤的研究人員說，他發(fā)現(xiàn)了77個(gè)手電筒應(yīng)用程序請求了50多個(gè)許可，這大約是Android操作系統(tǒng)所支持的許可總數(shù)的三分之一。

冠軍是兩個(gè)請求77權(quán)限的應(yīng)用程序，其次是另外3個(gè)請求76個(gè)的應(yīng)用程序。

但Corrons說，一些應(yīng)用程序似乎證明了他們所要求的某些權(quán)限是合理的，但這只是規(guī)則的一個(gè)例外。

"相信我，當(dāng)我說手電筒應(yīng)用程序所請求的一些權(quán)限真的很難解釋時(shí)，就像錄制音頻的權(quán)利一樣，由77個(gè)應(yīng)用程序請求；讀聯(lián)系人列表，由180個(gè)應(yīng)用程序請求，甚至是寫聯(lián)系人，21個(gè)手電筒應(yīng)用程序請求權(quán)限完成，"說。

此外，該研究人員還發(fā)現(xiàn)，數(shù)十個(gè)甚至數(shù)百個(gè)其他手電筒應(yīng)用程序請求其他同樣危險(xiǎn)的權(quán)限，比如能夠在不通知用戶的情況下殺死后臺進(jìn)程、打電話、處理短信、訪問地理位置數(shù)據(jù)或觸發(fā)下載。

其中許多權(quán)限經(jīng)常被惡意軟件使用，并且很容易針對用戶武器化。

事實(shí)上，多年來，這一直是許多在游戲商店工作的惡意軟件團(tuán)伙的作案手法。他們的策略依賴于通過發(fā)布簡單而無辜的應(yīng)用來贏得用戶的信任，然后在稍后的某個(gè)時(shí)候，通過更新，將這些應(yīng)用變成惡意軟件。

就在上個(gè)月，卡巴斯基(Kaspersky)的安全研究人員發(fā)現(xiàn)，一款用戶超過1億的熱門應(yīng)用更新后，突然變成了廣告軟件。

安全研究人員JohnOpdenakker在接受ZDNet采訪時(shí)告訴ZDNet，任何這些手電筒應(yīng)用程序都可能在任何時(shí)候發(fā)生這種情況，這些應(yīng)用程序在更新后都會變成惡意應(yīng)用程序。

Opdenakker說：“即使安裝時(shí)的意圖可能不是惡意的，但這種情況可能會隨著時(shí)間的推移而改變，所有的傷害都可能發(fā)生。”“例如，你的手機(jī)可能被惡意軟件感染，或者數(shù)據(jù)可能被竊取?！?/p>

Opdenakker和他之前無數(shù)的安全研究人員一樣，建議用戶注意其Play Store頁面上的權(quán)限應(yīng)用程序請求或列表。

他說：“谷歌在防止惡意軟件進(jìn)入其游戲商店方面沒有很好的聲譽(yù)?！薄耙枘切┮筮^多權(quán)限的應(yīng)用程序。這可能表明它們是惡意的?！?/p>

研究Play Store手電筒應(yīng)用程序的研究人員科隆(Corrons)補(bǔ)充道：“在安裝許可應(yīng)用程序之前，檢查它們是必須的，如果我們不理解它們，或者對它們感到不舒服，就不應(yīng)該安裝它們。”

研究人員還給出了另一個(gè)很好的建議--用戶不相信他們在應(yīng)用程序的Play Store頁面描述中看到的內(nèi)容。

Corrons說，他在其Play Store描述中發(fā)現(xiàn)了一款應(yīng)用程序，聲稱它“沒有不必要的權(quán)限”，但在Corrons測試時(shí)，它繼續(xù)請求61個(gè)權(quán)限。