MASWE-0117: 权限管理不足
概述¶
权限控制着对敏感设备功能(如摄像头、麦克风、位置和存储)的访问,使其成为移动应用隐私的关键方面。适当的权限管理对于保护用户隐私和遵守法规至关重要,因为权限是数据收集和处理的门户。
第一方应用¶
第一方应用可能会请求超出必要的权限,有时由于缺乏认识、技术限制或业务需求而忽略了隐私友好的替代方案。开发者面临着在功能和隐私之间取得平衡的挑战:虽然某些权限对于核心功能至关重要(例如,相机应用需要相机访问权限),但过多的权限可能导致不必要的数据收集和潜在的隐私侵犯。
从用户的角度来看,隐私担忧可能导致不愿授予权限,迫使他们在隐私和应用功能之间做出选择,因为在某些情况下,拒绝授予权限可能导致应用无法使用。反之,用户可能在未完全理解其影响的情况下授予权限,从而导致意外的数据暴露。
预装应用¶
预装应用通常带有过多的权限,用户无法控制或撤销,因为这些权限通常在未明确同意的情况下默认授予。这种缺乏控制可能导致持续的数据收集和持久的隐私风险。
第三方库 (SDK)¶
第三方库 (SDK) 通过继承应用权限进一步使权限管理复杂化,并引入难以审计和控制的隐私和安全风险。移动权限模型通常未能区分授予应用的权限和分配给第三方组件的权限,这一挑战在IEEE 研究论文“智能手机应用中的工程隐私”(第四节,“第三方内容”)中有所强调。此外,这些 SDK 背后的第三方服务即使在权限被撤销或应用被删除后,也可能继续访问通过网络收集的数据,为用户隐私带来长期风险。
引入方式¶
- 请求过多权限:应用请求的权限超出其核心功能所需。
- 缺乏使用隐私友好替代方案:未能使用对用户数据侵入性更小、控制力更强的隐私友好权限替代方案。例如,使用粗略位置而非精确位置,或使用图片选择器而非请求访问相机和照片库。
- 缺乏主动权限撤销:未自动撤销不再必要的应用权限,导致长时间不必要的数据访问。
- 权限解释不足:未能清晰解释每个权限所需的原因。
影响¶
- 侵犯用户隐私:用户的个人数据可能被移动应用不必要地访问,导致潜在的滥用、身份盗窃或监视。
- 失去用户信任:如果应用请求不必要的权限或不允许用户撤销不再相关的权限,用户可能会对应用失去信任。这可能导致负面评价、用户参与度降低和留存率下降。
- 法律和合规性问题:权限管理不当的应用可能面临不符合 GDPR 或 CCPA 等隐私法规的问题,这些法规要求数据最小化和用户对数据访问的适当控制,从而可能导致罚款、法律诉讼或从应用商店下架。
- 恶意滥用: 恶意应用可以滥用来自特权应用的权限,在未经用户同意的情况下记录、跟踪或窃取数据。
- 数据泄露: 一旦敏感数据离开应用,其安全性将无法再得到保证,从而增加了通过数据泄露造成大规模数据暴露的风险。
缓解措施¶
- 启用主动权限撤销:自动撤销不再必要的权限,以最大程度地减少长时间不必要的数据访问。确保用户可以通过清晰易用的界面随时手动撤销权限。
- 优先选择隐私友好替代方案:使用侵入性更小且能让用户更好地控制数据的隐私友好型替代方案。例如,使用粗略位置而非精确位置,或使用图片选择器而非请求访问相机和照片库。
- 将权限限制在必要需求内:确保应用仅请求核心功能所需的权限,避免收集不必要的数据,并遵循数据最小化原则。
- 实施即时权限请求:仅在需要时请求权限,并提供清晰的解释说明每个权限所需的原因。这种方法有助于建立用户信任,并确保用户了解授予数据访问权限的含义。
- 用户权限教育:教育用户了解为什么需要特定权限以及如何管理这些权限。提供透明度可以建立用户信任,并确保用户理解每个权限的重要性和相关性。
测试¶
MASTG-TEST-0255: 权限请求未最小化 MASTG-TEST-0257: 未重置未使用的权限 MASTG-TEST-0256: 缺少权限理由 MASTG-TEST-0254: 危险的应用权限