移动应用权限
移动应用权限 是什么?
移动应用权限由操作系统强制要求用户同意才能让应用访问敏感资源(如位置、麦克风、摄像头、联系人、照片、短信或后台传感器)的控制机制。
现代 iOS 与 Android 采用运行时权限与细粒度同意:应用必须调用展示提示的系统 API,通常还会提供 "仅本次允许" 或 "大致位置" 等选项。iOS 推出了 App Tracking Transparency 与 Privacy Manifest;Android 增加了 Scoped Storage、照片选择器与隐私仪表盘。恶意应用通过过度索权、请求辅助功能服务以读取屏幕内容(Android 银行木马常用手法),或组合多个低风险权限实施指纹识别来滥用机制。防御措施包括:在安装时与每季度审查权限、除非必要否则拒绝后台定位和辅助功能、优先使用系统选择器以避免全量授权。
● 示例
- 01
Android 木马诱使用户启用辅助功能,然后在后台读取银行 OTP 短信。
- 02
iOS 应用请求精确位置,但用户在系统对话框中只授予 "大致位置"。
● 常见问题
移动应用权限 是什么?
由操作系统强制要求用户同意才能让应用访问敏感资源(如位置、麦克风、摄像头、联系人、照片、短信或后台传感器)的控制机制。 它属于网络安全的 移动安全 分类。
移动应用权限 是什么意思?
由操作系统强制要求用户同意才能让应用访问敏感资源(如位置、麦克风、摄像头、联系人、照片、短信或后台传感器)的控制机制。
移动应用权限 是如何工作的?
现代 iOS 与 Android 采用运行时权限与细粒度同意:应用必须调用展示提示的系统 API,通常还会提供 "仅本次允许" 或 "大致位置" 等选项。iOS 推出了 App Tracking Transparency 与 Privacy Manifest;Android 增加了 Scoped Storage、照片选择器与隐私仪表盘。恶意应用通过过度索权、请求辅助功能服务以读取屏幕内容(Android 银行木马常用手法),或组合多个低风险权限实施指纹识别来滥用机制。防御措施包括:在安装时与每季度审查权限、除非必要否则拒绝后台定位和辅助功能、优先使用系统选择器以避免全量授权。
如何防御 移动应用权限?
针对 移动应用权限 的防御通常结合技术控制与运营实践,详见上方完整定义。
移动应用权限 还有哪些其他名称?
常见的别称包括: 应用权限, 运行时权限。
● 相关术语
- mobile-security№ 693
移动应用沙箱
由操作系统强制实施的边界,限制移动应用可访问的文件、IPC 与 API,使被攻陷的应用难以触及其他应用的数据。
- mobile-security№ 694
移动应用安全
通过设计、开发和测试 iOS 与 Android 应用来保护用户数据、防止逆向工程并抵御运行时篡改的实践。
- mobile-security№ 047
Android 恶意软件
针对 Android 操作系统的恶意软件,通常通过侧载 APK、Google Play 上的 dropper 应用或被入侵的第三方应用商店进行传播。
- mobile-security№ 700
移动 OTP 拦截
拦截发送到手机上的一次性密码,从而破坏基于短信或应用的双因素认证的攻击。
- privacy№ 856
隐私设计
一种工程与治理方法,在系统、流程及默认配置的最早设计阶段就内建隐私考量,而非事后补救。
- privacy№ 280
数据最小化
一项隐私原则,要求组织仅在明确合法目的所必需的范围内收集、处理和保留个人数据。
● 参见
- № 695移动应用商店攻击