Android 权限安全改进计划: Difference between revisions

1. Android 权限安全改进计划

简介

Android 权限系统是 Android 操作系统的核心安全机制之一。它控制着应用程序访问设备敏感数据和功能的权限。随着移动应用生态系统的不断发展，以及恶意软件攻击的日益复杂，Android 权限安全问题变得越来越重要。为了应对这些挑战，Google 持续推出 Android 权限安全改进计划，旨在增强用户隐私保护，提升系统安全性，并改善开发者体验。本文将深入探讨 Android 权限安全改进计划的演变历程、关键特性、面临的挑战以及未来的发展趋势，并从一个略带“二元期权”角度，分析不同权限策略的安全收益与风险。

权限模型演变史

Android 的权限模型并非一成不变，而是在不断演进。

• Android 1.0 – 1.5 (Donut – Cupcake): 最初的权限模型非常简单，应用程序在安装时要求所有权限，用户只能选择安装或不安装。这种“全有或全无”的模式缺乏粒度控制，存在较大的安全风险。可以将其比作一个“全额买入”的期权，风险极高，收益不确定。 Android版本历史
• Android 2.0 – 2.3 (Eclair – Gingerbread): 引入了运行时权限的概念，但仍然不够完善。应用程序可以在运行时请求某些敏感权限，但用户体验不佳。类似于“看涨期权”，需要等待特定事件触发，才能展现价值。 运行时权限
• Android 6.0 (Marshmallow): 彻底改变了权限模型，引入了基于Android Marshmallow的运行时权限模型。应用程序必须在运行时请求敏感权限，用户可以单独授予或拒绝每个权限。这极大地增强了用户对自身数据的控制力，也增加了应用程序开发的复杂性。 这就像是“二元期权”的雏形，用户可以选择“是”或“否”，直接决定应用的访问权限。
• Android 7.0 – 9.0 (Nougat – Pie): 进一步完善了运行时权限模型，引入了权限自动重置功能和后台位置权限控制，以防止应用程序滥用权限。 类似于“触碰期权”，对用户行为敏感，自动调整权限。 Android Nougat Android Oreo Android Pie
• Android 10 – 14 (Q – Upside Down Cake): 更加注重用户隐私保护，引入了后台位置权限的更严格控制、访问剪贴板权限的限制以及对设备传感器数据的访问限制。 同时，还提供了更细粒度的权限控制，例如“精确位置”和“大致位置”权限。这可以理解为“异构期权”，不同的权限类型拥有不同的风险收益曲线。Android 10 Android 11 Android 12 Android 13 Android 14

关键特性与改进

Android 权限安全改进计划的关键特性包括：

• 运行时权限： 应用程序必须在运行时请求敏感权限，用户可以随时撤销这些权限。
• 权限分组： 将相关的权限划分为不同的组，方便用户管理。例如，位置权限组包含访问精确位置和大致位置的权限。权限组
• 权限自动重置： 如果应用程序长时间未使用某个权限，系统会自动撤销该权限。
• 后台位置权限限制： 限制应用程序在后台访问位置信息的频率和精度。
• 一次性权限： 允许应用程序仅在一次性使用权限后自动撤销该权限。
• 数据访问审计： 提供工具和 API，允许开发者审计应用程序的数据访问行为。Android Debug Bridge
• 权限建议： 系统会根据用户的行为和应用程序的使用情况，向用户推荐合适的权限设置。
• 声明权限的最小化原则： 鼓励开发者只请求应用程序真正需要的权限，避免过度索取。最小权限原则
• Scoped Storage： 通过限制应用程序对共享存储的访问，增强用户隐私保护。Scoped Storage
• Privacy Sandbox： 一系列旨在增强用户隐私保护的技术，例如 Topics API 和 FLEDGE。Privacy Sandbox

权限风险与收益分析（二元期权视角）

从二元期权的角度来看，每个权限的授予或拒绝都可以视作一个二元选择，带有相应的风险和收益。