Que signifient ces autorisations d'application effrayantes?

Nous avons tous entendu des histoires sur de mauvaises applications qui veulent voler vos précieuses données et les expédier à l'étranger, et ces discussions se terminent toujours par un élément: quelqu'un dit que vous devez lire les autorisations d'une application avant de l'installer. C'est bien, mais il y a un petit problème: comment savoir ce que ces autorisations signifient? Quelque chose comme les outils système: démarrer automatiquement au démarrage est assez facile à déchiffrer et à comprendre, mais beaucoup d’autres ne le sont pas. Le problème est que les applications peuvent avoir une bonne raison de les utiliser car plusieurs choses différentes peuvent être couvertes par une seule autorisation et il n’ya pas de bonne place pour voir exactement ce qu’elles signifient.

Jetons un coup d'œil à certaines autorisations courantes qui semblent vraiment effrayantes. J'espère que cela vous aidera à mieux comprendre pourquoi un développeur peut vouloir une autorisation donnée ou pourquoi il ne devrait pas la demander.

Des services qui vous coûtent de l'argent - appelez directement des numéros de téléphone

Lorsque vous m'avertissez que quelque chose va me coûter de l'argent et que vous avez toute mon attention, cette autorisation signifie qu'une application peut automatiquement passer un appel téléphonique. Chaque application peut lancer le numéroteur par défaut et même entrer le numéro, mais à moins que cette autorisation ne soit accordée, vous devez appuyer sur le bouton d'appel. Des éléments tels que les remplacements de numérotation, Google Voice ou tout ce qui est lié à votre numéroteur doivent avoir cette autorisation. Si une application le souhaite, mais que cela n'a rien à voir avec les appels passés, renseignez-vous auprès des personnes qui ont installé Google Play avant de l'installer.

Parfois, il n'est pas évident de savoir pourquoi une application a besoin de l'autorisation pour effectuer des tâches utiles et sécurisées.

Services qui vous coûtent de l'argent - recevoir et envoyer des SMS ou des MMS

Encore une fois avec le coût de l'argent. Les services SMS par abonnement sont un moyen facile pour un escroc de gagner de l'argent. C'est donc un moyen à surveiller. Vos applications SMS préférées en auront besoin (c'est logique), mais une application vous permettant d'éditer ou de prendre une photo et de l'envoyer à un ami. Les applications qui peuvent partager n’importe quel média auront probablement ce paramètre. Il est nécessaire d’utiliser l’intention de partager quoi que ce soit avec un message SMS ou MMS. Si une application ne peut rien envoyer à qui que ce soit, vous devez vérifier pourquoi les développeurs en ont besoin.

Vos informations personnelles - lisez / écrivez vos contacts

Un client de messagerie ou tout type de messagerie utilise cette autorisation pour faire exactement ce qu'elle dit: lisez vos contacts. Mais il en va de même pour un widget de l'écran d'accueil pouvant contenir un raccourci vers une personne. Ou Twitter ou Facebook - ils veulent pouvoir trouver des amis à vous qui utilisent également leur service ou vous permettent de spammer ceux qui ne le font pas. "Contacts" est un terme large car il est possible de stocker de nombreuses informations pour un contact individuel. Nous voyons celui-ci sur des jeux qui ont beaucoup de classements, aussi. Tout ce qui peut vous mettre en contact avec quelqu'un d'autre aura probablement besoin de cette permission.

La permission d'écrire à vos contacts suit la même logique: si une application peut ajouter un ami, elle peut avoir besoin de cette permission pour le faire. Dans ce cas, "écrire" signifie modifier ou ajouter à votre liste de contacts, pas écrire un message à un contact.

Vos informations personnelles - lecture / écriture d'événements de calendrier

Celui-ci est assez simple. Il ne fait qu'une chose - lisez votre calendrier par défaut. Certaines applications devront avoir accès à votre calendrier. Outre des raisons évidentes d’avoir besoin de celui-ci, les applications qui peuvent vous rappeler de prendre un médicament ou vous avertir automatiquement d’un prochain voyage peuvent vous aider à le savoir en lisant votre calendrier. Si une application doit faire quelque chose à l'avenir, la lecture du calendrier est une demande d'autorisation valide. Si ce n'est pas le cas, découvrez ce qu'il veut faire avant de l'installer.

L'écriture d'événements de calendrier est une chose courante pour une application qui a une raison légitime de les lire. Si la raison pour laquelle une application a besoin de ces autorisations n'est pas évidente, la description dans le Play Store devrait vous en dire plus. Si vous n'êtes toujours pas sûr, demandez au développeur.

Appels téléphoniques - lisez l'état et l'identité du téléphone

C’est la permission la plus abusée et la moins comprise de tous. Vous devez comprendre que cette autorisation couvre deux choses différentes qui ne devraient pas être regroupées. Il y a beaucoup de bonnes raisons pour avoir besoin de lire l'état de votre téléphone. Un jeu est un bon exemple. Vous faites peut-être votre boulot et jouez à un jeu quand tout à coup votre téléphone sonne. Le jeu doit prendre du recul et laisser la notification des appels entrants contrôler votre écran. La demande d’appel peut prendre le contrôle (et le fait), mais le jeu a besoin de le savoir pour pouvoir arrêter l’action en arrière-plan jusqu’à ce que vous y reveniez. Cela peut se faire lorsque l’état du téléphone change.

Il est important de savoir quel identifiant une application demande.

Votre téléphone peut faire différentes choses pour fournir une identité unique. Chaque téléphone a un identifiant d'appareil différent de tous les autres et peut être exposé sans partage d'informations privées. Lorsque vous voyez combien de personnes utilisent une version particulière d'Android dans un graphique de Google, elles utilisent cet ID d'appareil pour obtenir ces chiffres. Lorsque vous accédez à Google Play, vous êtes compté et, comme chaque nombre est différent, vous ne serez compté qu'une fois. Ce numéro est également le meilleur moyen pour une application qui peut stocker des paramètres ou des favoris dans le nuage de les associer à vous et seulement à vous. C’est l’identifiant que nous souhaitons partager car il ne peut indiquer que le téléphone que vous possédez et le logiciel qu’il contient, ainsi aucune de vos données n’est exposée.

Cette autorisation est également requise pour qu'une application puisse lire un ID unique différent, votre numéro IMEI. Votre numéro IMEI indique comment votre compagnie de téléphone vous connecte votre téléphone - votre adresse, votre nom et tout ce que vous auriez besoin de fournir pour acheter un téléphone qui puisse prouver qui vous êtes. Ces données sont difficiles à obtenir - il existe au minimum trois serveurs de base de données sécurisés et cryptés différents entre celle-ci et les données de votre compte, mais ce n'est pas impossible à obtenir. Parce que nous avons tous entendu parler d'histoires de grandes entreprises de télécommunication exposant de temps en temps des données d'utilisateurs aléatoires, vous ne souhaitez en aucun cas les partager sans raison valable.

Puisque vous n'avez aucun moyen de savoir quelle ID une application demandant cela capturera, dites non quand vous le verrez, à moins que vous ne sachiez pourquoi ils le veulent et ce qu'ils en font.

Votre position précise - GPS et localisation réseau

Si une application a besoin de savoir où vous vous trouvez, elle doit vous demander votre emplacement. Un emplacement approximatif, par exemple une base de données Wi-Fi AP, fonctionne assez bien pour beaucoup de choses, mais il faut parfois être précis et c'est une deuxième demande d'autorisation.

La nécessité de votre emplacement précis peut être déterminée par un peu de guesstimation. Cette application a-t-elle besoin de savoir ce qui se trouve à moins de 50 mètres de moi? Si la réponse est oui, il faut un emplacement précis. Une application qui indique à une personne en fauteuil roulant où se trouvent les ascenseurs ou les salles de bains du centre commercial (ceux-ci existent et félicitations des personnes qui les ont réalisées) a besoin de votre emplacement précis. Une application qui vous indique ce qui est en vente chez Target lorsque vous arrivez sur le parking ne le fait pas. Bien sûr, toute application avec une carte ou qui vous donne des indications doit également indiquer votre position.

Et parfois, les applications contenant des annonces en ont besoin uniquement pour la société de publicité. C'est à vous de décider si vous avez assez besoin de ces applications.

Vos informations personnelles - Modifier / supprimer le contenu de la carte SD

Cette autorisation permet à une application de lire ou d'écrire sur le stockage externe de votre téléphone. Cela permettait à une application de regarder vos données gratuitement, de modifier ces données, de les supprimer et d’ajouter davantage de données n’importe où sur votre carte SD. C’est un peu déroutant car ils ne désignent pas nécessairement la petite carte SD que vous pouvez retirer du téléphone. Sous Android, la mémoire de votre téléphone est appelée carte SD dans le système de fichiers. La petite carte SD est un stockage externe. Cela était nécessaire pour prendre en charge le stockage des données à l'échelle du système sur votre carte mémoire amovible dès son développement. Cela n'a pas changé, car changer de nom ferait craquer de nombreuses applications.

La manière dont les applications peuvent lire à partir de votre stockage change lorsque Google tente de concilier commodité et sécurité.

Google a beaucoup fait pour rendre cette autorisation inoffensive. Avec chaque version, ils précisent les moyens par lesquels une application peut accéder uniquement aux informations dont elle a besoin. Mais il y a encore des gens qui utilisent des versions plus anciennes, ce qui peut vouloir dire que cette permission est un peu plus sérieuse. Si vous en faites partie, assurez-vous de faire confiance à l'application avant de l'installer.

Il y a une deuxième raison pour laquelle je liste celui-ci. Toute application écrite pour une API de niveau 4 (Android 1.6 Donut) ou une version inférieure obtient cette autorisation par défaut. Il n'y a pas beaucoup de ces applications autour. Mais c’est une façon pour une application qui ne vient pas de Google Play d’y avoir accès, ce qui ne devrait pas être le cas si votre téléphone utilise une version plus ancienne d’Android. Les dommages que cela peut entraîner dépendent du type de données que vous avez sur la mémoire de votre téléphone.

Les téléphones fonctionnant sous Android 7 Nougat et les applications conçues pour les téléphones fonctionnant sous Android 7 utilisent un accès annuaire étendu et celui-ci est enfin mis au repos.

Communication réseau - accès réseau complet

Cette permission signifie exactement ce qu'elle dit. Une application veut pouvoir envoyer des demandes et obtenir une réponse via le réseau (Wi-Fi ou la connexion de données de votre téléphone). Outre les applications qui utilisent Internet à des fins évidentes, celles qui contiennent des annonces ont besoin de celle-ci.

Bien que cette autorisation soit relativement inoffensive en ce qui concerne vos informations personnelles, elle peut utiliser votre allocation de données sans que vous ne vous en rendiez compte. Nous détestons payer autant que vous pour des données supplémentaires. Utilisez le mode avion lorsque les données vous manquent et si vous trouvez une application qui devrait fonctionner hors connexion mais ne fonctionne pas, désinstallez-la. Il y a trop de bonnes applications pour tromper celles qui ne suivent pas les meilleures pratiques.

Il existe de nombreuses autres autorisations moins suspectes. Une application qui prend des photos doit contrôler votre matériel. Netflix doit garder votre écran éveillé pendant les 90 minutes que vous ne touchez pas l'écran. Un widget de profil de sonnerie doit avoir accès à vos paramètres. Lorsque vous rencontrez une autorisation qui semble hors de propos, un raisonnement déductif permet généralement de comprendre pourquoi une application le demande. Sinon, lisez les commentaires sur Google Play et posez des questions sur les forums. N'installez pas tout ce qui vous inquiète et n'assumez pas automatiquement le pire.

La plupart des applications de Google Play ne cherchent pas à voler vos données ou votre argent.

N'oubliez pas que la plupart des personnes qui écrivent des applications veulent simplement gagner un peu d'argent ou le font parce que c'est amusant. Les applications existantes pour exploiter vos données sont rares. Et parfois, les développeurs commettent une erreur: il n'est pas difficile de demander à Android de demander une autorisation non utilisée par une application et il est facile de faire abstraction de ces erreurs lorsque vous les construisez.

Android devient beaucoup mieux qu'avant en ce qui concerne les autorisations. Il est fort probable que vous puissiez refuser l'une de ces actions après avoir installé une application via les paramètres de votre téléphone. Certaines des autorisations les plus courantes concernant les "sons inquiétants" disparaissent complètement. Mais avec autant de téléphones différents ayant autant de versions différentes d'Android, ces informations peuvent signifier davantage pour certaines personnes que pour d'autres.

Nous allons garder cela à jour au fur et à mesure que les choses changent.