Разрешения мобильных приложений
Что такое Разрешения мобильных приложений?
Разрешения мобильных приложенийКонтроли ОС, требующие согласия пользователя перед тем, как приложение получит доступ к чувствительным ресурсам: геолокации, микрофону, камере, контактам, фотографиям, SMS или фоновым датчикам.
Современные iOS и Android применяют разрешения времени выполнения и тонкое согласие: приложение должно вызвать системный API, который покажет пользователю запрос и часто предложит варианты «Разрешить один раз» или «Приблизительная геолокация». iOS добавил App Tracking Transparency и Privacy Manifests; Android — scoped storage, picker фотографий и privacy dashboard. Вредоносные приложения злоупотребляют разрешениями, запрашивая лишнее, прося службу специальных возможностей для чтения экрана (типичный приём Android-банкеров) или связывая малорисковые разрешения для фингерпринтинга. Защита: пересматривать разрешения при установке и раз в квартал, отказывать в фоновой геолокации и Accessibility без необходимости, использовать системные пикеры вместо общего доступа.
● Примеры
- 01
Android-троян уговаривает пользователя включить Accessibility и затем читает SMS с OTP из банка в фоне.
- 02
iOS-приложение просит точную геолокацию, но пользователь в системном диалоге выбирает только «Приблизительную».
● Частые вопросы
Что такое Разрешения мобильных приложений?
Контроли ОС, требующие согласия пользователя перед тем, как приложение получит доступ к чувствительным ресурсам: геолокации, микрофону, камере, контактам, фотографиям, SMS или фоновым датчикам. Относится к категории Мобильная безопасность в кибербезопасности.
Что означает Разрешения мобильных приложений?
Контроли ОС, требующие согласия пользователя перед тем, как приложение получит доступ к чувствительным ресурсам: геолокации, микрофону, камере, контактам, фотографиям, SMS или фоновым датчикам.
Как работает Разрешения мобильных приложений?
Современные iOS и Android применяют разрешения времени выполнения и тонкое согласие: приложение должно вызвать системный API, который покажет пользователю запрос и часто предложит варианты «Разрешить один раз» или «Приблизительная геолокация». iOS добавил App Tracking Transparency и Privacy Manifests; Android — scoped storage, picker фотографий и privacy dashboard. Вредоносные приложения злоупотребляют разрешениями, запрашивая лишнее, прося службу специальных возможностей для чтения экрана (типичный приём Android-банкеров) или связывая малорисковые разрешения для фингерпринтинга. Защита: пересматривать разрешения при установке и раз в квартал, отказывать в фоновой геолокации и Accessibility без необходимости, использовать системные пикеры вместо общего доступа.
Как защититься от Разрешения мобильных приложений?
Защита от Разрешения мобильных приложений обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Разрешения мобильных приложений?
Распространённые альтернативные названия: Разрешения приложения, Разрешения времени выполнения.
● Связанные термины
- mobile-security№ 693
Песочница мобильного приложения
Граница, обеспечиваемая операционной системой, которая ограничивает доступ мобильного приложения к файлам, IPC и API, не позволяя скомпрометированной программе свободно добраться до данных других приложений.
- mobile-security№ 694
Безопасность мобильных приложений
Практика проектирования, разработки и тестирования iOS- и Android-приложений для защиты данных пользователя, предотвращения реверс-инжиниринга и противодействия модификации во время выполнения.
- mobile-security№ 047
Android-малварь
Вредоносное ПО для операционной системы Android, как правило распространяемое через сайдлоадинг APK, дропперы в Google Play или скомпрометированные сторонние магазины.
- mobile-security№ 700
Перехват мобильных OTP
Атаки, перехватывающие одноразовые пароли, доставляемые на телефон, и подрывающие двухфакторную аутентификацию по SMS или через приложение.
- privacy№ 856
Приватность по умолчанию (Privacy by Design)
Инженерно-управленческий подход, при котором требования приватности встраиваются в системы, процессы и настройки по умолчанию с самых ранних этапов проектирования.
- privacy№ 280
Минимизация данных
Принцип приватности, требующий собирать, обрабатывать и хранить только те персональные данные, которые строго необходимы для заявленной законной цели.