30 quyền ứng dụng cần tránh trên Android

Bạn có chỉ chọn Chấp nhận(Accept ) mọi thứ ném vào bạn khi bạn cài đặt một ứng dụng mới trên thiết bị Android của mình(new app on your Android device) không? Hầu hết mọi người làm. Nhưng bạn đồng ý với điều gì? 

Thỏa thuận cấp phép người dùng cuối(End User Licensing Agreement) ( EULA ) và sau đó là các quyền ứng dụng. Một số quyền ứng dụng đó có thể cho phép một ứng dụng và công ty tạo ra nó, đi quá xa và vi phạm quyền riêng tư của bạn. Bạn cần biết những quyền ứng dụng nào để tránh đồng ý với Android của bạn .

Bạn nên tránh những quyền nào? Nó phụ thuộc và chúng ta sẽ đi sâu hơn vào vấn đề đó. Bạn sẽ muốn cảnh giác với các quyền liên quan đến việc truy cập:

  • Điện thoại
  • Âm thanh
  • Địa điểm
  • Liên lạc
  • Máy ảnh
  • Lịch
  • Nhắn tin
  • Sinh trắc học(Biometrics)
  • Lưu trữ đám mây

Quyền ứng dụng là gì?(What Are App Permissions?)

Khi bạn cài đặt một ứng dụng, ứng dụng đó hiếm khi đi kèm với mọi thứ mà nó cần để thực hiện công việc đã được tích hợp sẵn. Có rất nhiều thứ đã có trong Android của bạn mà ứng dụng cần tích hợp để hoàn thành công việc của mình.

Giả sử bạn tải xuống một ứng dụng chỉnh sửa ảnh(download a photo editing app) . Nhà phát triển ứng dụng sẽ không viết thư viện ảnh hoàn chỉnh hoặc phần mềm máy ảnh vào chính ứng dụng. Họ sẽ yêu cầu quyền truy cập vào những thứ đó. Điều này giúp các ứng dụng nhỏ gọn và hiệu quả và Android của bạn không bị lấp đầy bởi mã ứng dụng trùng lặp.

Tôi nên tránh những quyền ứng dụng nào?(What App Permissions Should I Avoid?)

Đối với các nhà phát triển Android , quyền được chia thành 2 nhóm: bình thường và nguy hiểm.

Các quyền thông thường được coi là an toàn và thường được cho phép theo mặc định mà không có sự cho phép rõ ràng của bạn. Các quyền nguy hiểm là những quyền có thể gây rủi ro cho quyền riêng tư của bạn. 

Chúng tôi sẽ xem xét 30 quyền nguy hiểm được liệt kê trong Tài liệu tham khảo dành cho nhà phát triển Android( Android Developer’s Reference) từ Google . Tên của quyền sẽ được liệt kê, kèm theo trích dẫn từ Tài liệu tham khảo(Reference) của nhà phát triển về những gì quyền cho phép. Sau đó, chúng tôi sẽ giải thích ngắn gọn tại sao nó có thể nguy hiểm. Đây là những quyền ứng dụng bạn có thể(may) muốn tránh, nếu có thể

ACCEPT_HANDOVER

“Cho phép ứng dụng gọi điện tiếp tục cuộc gọi đã được bắt đầu trong một ứng dụng khác.”

Quyền này cho phép chuyển cuộc gọi đến một ứng dụng hoặc dịch vụ mà bạn có thể không biết. Điều này có thể khiến bạn bị tính phí nếu nó chuyển bạn sang một dịch vụ đang sử dụng hạn ngạch dữ liệu thay vì gói di động của bạn. Nó cũng có thể được sử dụng để ghi âm các cuộc trò chuyện một cách bí mật.

ACCESS_BACKGROUND_LOCATION

“Cho phép ứng dụng truy cập vị trí trong nền. Nếu bạn đang yêu cầu quyền này, bạn cũng phải yêu cầu ACCESS_COARSE_LOCATION hoặc ACCESS_FINE_LOCATION . Bản thân việc yêu cầu quyền này không cung cấp cho bạn quyền truy cập vị trí ”.

Giống như Google nói, chỉ riêng quyền này sẽ không theo dõi bạn. Nhưng những gì nó có thể làm là cho phép bạn được theo dõi(allow you to be tracked) ngay cả khi bạn nghĩ rằng bạn đã đóng ứng dụng và nó không còn theo dõi vị trí của bạn nữa.

ACCESS_COARSE_LOCATION

“Cho phép ứng dụng truy cập vị trí gần đúng.”

Độ chính xác của vị trí thô định vị bạn đến một khu vực chung, dựa trên tháp di động mà thiết bị đang kết nối. Dịch vụ khẩn cấp có thể xác định vị trí của bạn khi gặp sự cố là rất hữu ích, nhưng không ai khác thực sự cần thông tin đó.

ACCESS_FINE_LOCATION

“Cho phép ứng dụng truy cập vào vị trí chính xác.”

Khi họ nói chính xác, nghĩa là họ có ý đó. Quyền vị trí tốt sẽ sử dụng dữ liệu GPSWiFi để xác định vị trí của bạn. Độ chính xác có thể trong vòng vài feet, có thể xác định được bạn đang ở căn phòng nào trong nhà mình.

ACCESS_MEDIA_LOCATION

“Cho phép ứng dụng truy cập vào bất kỳ vị trí địa lý nào vẫn còn trong bộ sưu tập được chia sẻ của người dùng.”

Trừ khi bạn đã tắt tính năng gắn thẻ địa lý trên ảnh và video của mình(turned off geotagging on your pictures and videos) , ứng dụng này có thể xem qua tất cả chúng và xây dựng hồ sơ chính xác về nơi bạn đã ở dựa trên dữ liệu trong tệp ảnh của mình(build an accurate profile of where you’ve been based on data in your photo files) .

ACTITY_RECOGNITION(ACTIVITY_RECOGNITION)

“Cho phép ứng dụng nhận ra hoạt động thể chất.”

Riêng nó, nó có vẻ không nhiều. Nó thường được sử dụng bởi những người theo dõi hoạt động như FitBit(activity trackers like FitBit) . Nhưng hãy đặt nó cùng với thông tin vị trí khác và họ có thể biết bạn đang làm gì và bạn đang làm ở đâu.

ADD_VOICEMAIL

“Cho phép ứng dụng thêm thư thoại vào hệ thống.”

Điều này có thể được sử dụng cho các mục đích lừa đảo. Hãy tưởng tượng(Imagine) thêm một thư thoại(voicemail) từ ngân hàng của bạn yêu cầu gọi điện cho họ, nhưng số được cung cấp không phải của ngân hàng.

TRẢ LỜI CUỘC ĐIỆN THOẠI(ANSWER_PHONE_CALLS)

“Cho phép ứng dụng trả lời cuộc gọi đến.”

Bạn có thể thấy đây có thể là một vấn đề như thế nào. Hãy tưởng tượng(Imagine) một ứng dụng chỉ trả lời cuộc gọi điện thoại của bạn và làm bất cứ điều gì nó thích với chúng.

BODY_SENSORS

“Cho phép ứng dụng truy cập dữ liệu từ các cảm biến mà người dùng sử dụng để đo những gì đang xảy ra bên trong cơ thể họ, chẳng hạn như nhịp tim(sensors that the user uses to measure what is happening inside their body, such as heart rate) ”.

Đây là một thông tin khác mà thông tin tự nó có thể không có nhiều ý nghĩa, nhưng khi kết hợp với thông tin từ các cảm biến khác có thể rất tiết lộ. 

CALL_PHONE

“Cho phép ứng dụng bắt đầu cuộc gọi điện thoại mà không cần thông qua giao diện người dùng Dialer để người dùng xác nhận cuộc gọi.”(Dialer)

Thật đáng sợ khi nghĩ rằng một ứng dụng có thể thực hiện cuộc gọi điện thoại mà bạn không biết. Sau đó, hãy nghĩ về cách nó có thể gọi một số 1-900 và bạn có thể kiếm được hàng trăm hoặc hàng nghìn đô la.

MÁY ẢNH(CAMERA)

“Bắt buộc để có thể truy cập thiết bị máy ảnh.”

Rất nhiều ứng dụng sẽ muốn sử dụng máy ảnh. Nó có ý nghĩa đối với những thứ như chỉnh sửa ảnh hoặc mạng xã hội. Nhưng nếu một trò chơi trẻ em đơn giản muốn có sự cho phép này, điều đó thật đáng sợ.

READ_CALENDAR

“Cho phép ứng dụng đọc dữ liệu lịch(calendar data) của người dùng .”

Ứng dụng sẽ biết bạn sẽ ở đâu và khi nào. Nếu bạn ghi chú các cuộc hẹn của mình, nó cũng sẽ biết lý do tại sao bạn ở đó. Thêm vào thông tin vị trí và ứng dụng cũng sẽ biết bạn đến đó bằng cách nào.

WRITE_CALENDAR

“Cho phép ứng dụng ghi dữ liệu lịch của người dùng.”

Một kẻ xấu có thể sử dụng điều này để đưa các cuộc hẹn vào lịch của bạn, khiến bạn nghĩ rằng bạn có thể phải đến một nơi nào đó mà bạn không đến hoặc gọi cho ai đó mà bạn không cần thiết.

READ_CALL_LOG

“Cho phép ứng dụng đọc nhật ký cuộc gọi của người dùng.”

Chúng ta nói chuyện với ai và khi nào có thể tiết lộ rất nhiều về cuộc sống của chúng ta. Gọi cho đồng nghiệp của bạn trong ngày? Bình thường(Normal) . Gọi cho họ lúc 2 giờ sáng vào tối thứ bảy(Saturday) ? Không bình thường như vậy.

WRITE_CALL_LOG

“Cho phép ứng dụng ghi (nhưng không đọc) dữ liệu nhật ký cuộc gọi của người dùng.”

Nó không có khả năng xảy ra, nhưng một ứng dụng độc hại có thể thêm nhật ký cuộc gọi để thiết lập cho bạn một điều gì đó. 

READ_CONTACTS

“Cho phép ứng dụng đọc dữ liệu danh bạ của người dùng.”

Tương tự như việc đọc nhật ký cuộc gọi, danh sách liên lạc của một người(person’s contact list) nói lên rất nhiều điều về họ. Ngoài ra, danh sách này có thể được sử dụng để lừa đảo bạn bè của bạn, khiến họ nghĩ rằng đó là bạn đang nhắn tin cho họ. Nó cũng có thể được sử dụng để phát triển danh sách email tiếp thị mà công ty có thể bán giảm giá cho các nhà quảng cáo.

WRITE_CONTACTS

“Cho phép ứng dụng ghi dữ liệu danh bạ của người dùng.”

Điều gì sẽ xảy ra nếu điều này có thể được sử dụng để chỉnh sửa hoặc ghi đè danh bạ của bạn? Hãy tưởng tượng(Imagine) nếu nó thay đổi số cho nhà môi giới thế chấp của bạn thành một số khác và bạn gọi cho một số kẻ lừa đảo và cung cấp cho họ thông tin tài chính của bạn.

READ_EXTERNAL_STORAGE

“Cho phép ứng dụng đọc từ bộ nhớ ngoài.”

Bất kỳ bộ lưu trữ dữ liệu nào cắm vào thiết bị của bạn, như thẻ nhớ microSD(microSD card) hoặc thậm chí là máy tính xách tay, đều có thể được truy cập nếu bạn cho phép quyền này.

WRITE_EXTERNAL_STORAGE

“Cho phép ứng dụng ghi vào bộ nhớ ngoài.”

Nếu bạn cấp quyền này, thì quyền READ_EXTERNAL_STORAGE cũng được cấp ngầm. Giờ đây, ứng dụng có thể làm những gì nó muốn với bất kỳ bộ nhớ dữ liệu được kết nối nào.

READ_PHONE_NUMBERS

Cho phép(Allows) đọc quyền truy cập vào (các) số điện thoại của thiết bị. “

Nếu một ứng dụng yêu cầu điều này và bạn cấp nó, ứng dụng đó sẽ biết số điện thoại của bạn. Hy vọng sẽ sớm nhận được một số cuộc gọi(get some robocalls) tự động nếu ứng dụng này còn sơ sài.

READ_PHONE_STATE

Cho phép(Allows) chỉ đọc quyền truy cập vào trạng thái điện thoại, bao gồm thông tin mạng di động hiện tại, trạng thái của mọi cuộc gọi đang diễn ra và danh sách bất kỳ tài khoản điện thoại nào được đăng ký trên thiết bị.”

Quyền này có thể được sử dụng để tạo điều kiện thuận lợi cho việc nghe trộm và theo dõi bạn qua mạng nào bạn đang sử dụng.

READ_SMS

“Cho phép ứng dụng đọc tin nhắn SMS(SMS) .”

Một lần nữa(Again) , một cách khác để nghe lén bạn và thu thập thông tin cá nhân. Lần này bằng cách đọc tin nhắn văn bản của bạn.

GỬI TIN NHẮN(SEND_SMS)

“Cho phép ứng dụng gửi tin nhắn SMS(SMS messages) .”

Điều này có thể được sử dụng để đăng ký cho bạn các dịch vụ nhắn tin trả phí, chẳng hạn như xem tử vi hàng ngày của bạn. Điều này có thể khiến bạn tốn rất nhiều tiền, một cách nhanh chóng.

RECEIVE_MMS

“Cho phép ứng dụng giám sát các tin nhắn MMS đến .”

Ứng dụng sẽ có thể xem bất kỳ hình ảnh hoặc video nào được gửi cho bạn.

RECEIVE_SMS

“Cho phép ứng dụng nhận tin nhắn SMS(SMS) .”

Ứng dụng này sẽ cho phép theo dõi tin nhắn văn bản của bạn.

RECEIVE_WAP_PUSH

“Cho phép ứng dụng nhận thông báo đẩy WAP .”

Thông báo đẩy WAP là một thông báo cũng là một liên kết web. (WAP)Việc chọn thư có thể mở ra một trang web chứa đầy phần mềm độc hại hoặc lừa đảo.

GHI ÂM(RECORD_AUDIO)

“Cho phép ứng dụng ghi lại âm thanh.”

Tuy nhiên, một cách khác để nghe trộm mọi người. Thêm vào đó, bạn có thể học được rất nhiều điều đáng ngạc nhiên từ âm thanh xung quanh một người, ngay cả khi họ không nói chuyện.

USE_SIP

“Cho phép ứng dụng sử dụng dịch vụ SIP .”

Nếu bạn không biết phiên SIP là gì, hãy nghĩ đến Skype hoặc Zoom(Skype or Zoom) . Đó là những giao tiếp diễn ra qua kết nối VoIP . Đây chỉ là một cách nữa mà ứng dụng độc hại có thể theo dõi và lắng nghe bạn.

Tôi có nên tránh tất cả quyền của Android không?(Should I Avoid All Android Permissions?)

Chúng ta phải xem xét các quyền trong bối cảnh những gì chúng ta muốn ứng dụng làm cho chúng ta. Nếu chúng tôi chặn tất cả các quyền đó cho mọi ứng dụng, thì sẽ không có ứng dụng nào của chúng tôi hoạt động.

Hãy(Think) coi thiết bị Android như ngôi nhà của bạn. Đối với sự tương tự của chúng tôi, hãy nghĩ ứng dụng như một người thợ sửa chữa đến nhà bạn. Họ có một công việc cụ thể phải làm và sẽ cần quyền truy cập vào một số bộ phận trong nhà của bạn, chứ không phải những nơi khác.

Nếu bạn có một thợ sửa ống nước đến sửa bồn rửa bát, họ sẽ cần sự cho phép của bạn để tiếp cận bồn rửa và các đường ống cấp và tháo nước. Đó là nó. Vì vậy, nếu thợ sửa ống nước yêu cầu xem phòng ngủ của bạn, bạn sẽ nghi ngờ về những gì họ đang làm. Đối với các ứng dụng cũng vậy. Hãy ghi nhớ điều đó khi bạn đồng ý với các quyền của ứng dụng.



About the author

Tôi là nhà tư vấn công nghệ với hơn 10 năm kinh nghiệm trong lĩnh vực phần mềm. Tôi chuyên về Microsoft Office, Edge và các công nghệ liên quan khác. Tôi đã làm việc trong nhiều dự án khác nhau cho cả các công ty lớn và nhỏ, và tôi cực kỳ am hiểu về các nền tảng và công cụ khác nhau hiện nay.



Related posts