どうしたらAndroidを安全に使えるの？ パーミッションから考える

photo credit: Johan Larsson via photo pin cc

このキーワードでココにたどり着く人が多いので、まだ私の中でも方針が決まっていないのだけれど、わかる範疇の事を書いておきます。

問い合わせの多いパーミッション１

電話/通話（PHONE_CALLS)
携帯のステータス　IDの読み取り、端末ステータスの変更、発信の傍受

こんなの書かれたら、やっぱりビビリますわな(ーー゛)　いったい何する気じゃい。

このパーミッションの中身には3つあって、その中のREAD_PHONE_STATE（携帯のステータス　IDの読み取り）が広告機能に使われているのですよ。
いい悪いは別として、Android ID,IMEI,IMSIでユーザーを識別して、ついでに位置情報を取得しピンポイントで広告を表示させる、と。その仕組の中でひとくくりにPHONE_CALLSという扱いにされているもんだから”発信の傍受”なんて説明がおまけについてくる。

ただ、アプリのほうも親切じゃないのは確かで、機能を使うときポップアップで”今から〇〇のパーミッションをつかって〇〇します”ぐらい表示してくれれば、そんなに不安がる人もいないと思うのね。
もちろんホントに悪さする目的でPHONE_CALLS使う輩もいるだろうしね。

ただ、無料アプリで広告表記させますと謳っているアプリの多くはこのパーミッションを使わざるを得ないので、無料アプリダウンロードするときは、広告するのにいるんだなくらいに思っておいて。

なので、ユーザーとしてはGoogle Play以外でアプリはインストールしない。マメにアプリ情報サイトでマルウエアの情報をチェックする。で、大体は大丈夫でしょう。ついでに完ぺきじゃないけど、アンチウィルスソフトは導入しておくこと。

以上。
では、また。

【参考】
AndroidManifest.xml の permission一覧
スマートフォンのセキュリティ（参考：広告機能）　PDF

【関連記事】
Androidパーミッション:アプリのため？広告のため？
日本最大のAndroid情報サイト『アンドロイダー』が、 不正アプリ防止の画期的な取り組みを開始

安全にAndroidを使うにはどうしたらいいの～Springpadのパーミッションをあらためて考えてみる～

By SprinkleBakes

Androidマーケットに30個以上のマルウェア なんてのがあったり、もうちょっと前にはAndroid端末情報を許諾なしに取得・送信、ミログ「app.tv」がサービス停止とか、油断も隙もあったもんじゃないAndroidの世界。

ユーザーは何をどう気をつけなきゃいけないの？っていったら

• アプリのインストールをする時には「アクセス許可」（パーミッション）が適正なものか判断する
• アンチウイルスソフトを導入する

ぐらいしか方法がない。

ただ、パーミッションて悪用されるばっかりじゃないから、一概に「連絡先データの読取り」があるからダメとも言い切れないのも困ったところ。（ゲームとかで「連絡先データの読取り」や「SMSメッセージの送信」とかの許可を求められたら、一応疑ったほうがいいかもしれないが）

ツワモノになると怪しいパーミッションを一旦削除して、手動でソフトをインストールとかになるけど、ワタシもそんなことしたくないやい。

で、ハナシ変わってSpringpadのパーミッションをあらためてマーケットで見てみた。

アクセス許可

このアプリケーションは下記にアクセスする場合があります:

• ハードウェアの制御
  画像と動画の撮影
  カメラでの画像と動画の撮影をアプリケーションに許可します。許可すると、カメラがとらえている画像をアプリケーションがいつでも取得できるようになります。
  録音
  録音した音声のパスにアクセスすることをアプリケーションに許可します。
• 現在地
  おおよその位置情報（ネットワーク基地局）
  セルラー ネットワーク データベースなど、端末のおおよその位置を特定できる位置情報がある場合はその情報にアクセスします。この許可を悪意のあるアプリケーションに利用されると、ユーザーのおおよその現在地が特定される恐れがあります。
  精細な位置情報（GPS）
  端末内の GPS など、正確な位置を特定できる位置情報がある場合はその情報にアクセスします。この許可を悪意のあるアプリケーションに利用されると、ユーザーの現在地が特定されたり、電池の消費量が増えたりする恐れがあります。
• ネットワーク通信
  完全なインターネット アクセス
  ネットワーク ソケットの作成をアプリケーションに許可します。
• 電話/通話
  端末のステータスと ID の読み取り
  端末の電話機能へのアクセスをアプリケーションに許可します。この権限が許可されたアプリケーションでは、この端末の電話番号やシリアル番号、通話中かどうか、通話相手の電話番号などを特定できます。
• ストレージ
  USB ストレージのコンテンツの変更/削除、SD カードのコンテンツの変更/削除
  USB ストレージへの書き込みをアプリケーションに許可します。SD カードへの書き込みをアプリケーションに許可します。

ハードウェアの制御

• ライトのコントロール
  ライトの制御をアプリケーションに許可します。
• ネットワーク通信
  ネットワーク状態の表示
  すべてのネットワーク状態の表示をアプリケーションに許可します。
  インターネットからデータを受信する
  アプリケーションのサービスから送信されるクラウド - デバイス メッセージの受信をアプリケーションに許可します。このサービスを利用するとデータ通信が発生します。悪意のあるアプリケーションにこの許可を利用されると、過剰なデータ通信が発生する恐れがあります。
• システム ツール
  起動時に自動的に開始
  システムの起動後に自動的に起動することをアプリケーションに許可します。許可すると端末の起動時間が長くなったり、アプリケーションが常に実行されるため端末全体の動作が遅くなったりする恐れがあります。
  
  
  
  
  カメラや音声も集めるし、nearldyやGoogle Map APIを使ったサービスも扱ってるから、位置情報の取得もまあおかしくはない。気になるのは端末のステータスと ID の読み取りかあ。タブレットのユーザーなのでそもそも通話は使ってないけどね。
  
  
  気になるなら記録する情報を制限するなど、つきあいかたを考えるのがいいかも。
  
  
  では、また。
  
  
  【参考サイト】
  不正アプリによるスマートフォンマルウェア感染対策に「5つのヒント」（マカフィー）
  第2回 Androidを取り巻く脅威――ユーザーにできることは？
  アプリのパーミッションをチェックして有害な動作を防止しよう 特集まとめ（目 次）
  
  
  不審なパーミッションを要求するアプリを安全に試したければ、権限を削除してしまおう 特集その3
  （アプリの権限実験をしてみたい方、どうぞ）