30 สิทธิ์ของแอปที่ควรหลีกเลี่ยงบน Android

คุณเพียงแค่เลือกยอมรับ(Accept )ทุกสิ่งที่ส่งถึงคุณเมื่อคุณติดตั้งแอพใหม่บนอุปกรณ์ Android ของคุณ(new app on your Android device)หรือไม่? คนส่วนใหญ่ทำ แต่ตกลงอะไร? 

มีข้อตกลงอนุญาตให้ใช้สิทธิ์สำหรับผู้ใช้ปลายทาง(End User Licensing Agreement) ( EULA ) และมีการอนุญาตแอป การอนุญาตแอพบางตัวสามารถอนุญาตให้แอพและ บริษัท ที่ทำให้มันไปไกลเกินไปและละเมิดความเป็นส่วนตัวของคุณ คุณจำเป็นต้องรู้ว่าการอนุญาตแอพใดเพื่อหลีกเลี่ยงการยอมรับบนAndroidของ คุณ

คุณควรหลีกเลี่ยงสิทธิ์ใดบ้าง มันขึ้นอยู่กับและเราจะพูดถึงเรื่องนี้ต่อไป คุณจะต้องระมัดระวังการอนุญาตที่เกี่ยวข้องกับการเข้าถึง:

  • โทรศัพท์
  • เครื่องเสียง
  • ที่ตั้ง
  • รายชื่อผู้ติดต่อ
  • กล้อง
  • ปฏิทิน
  • ข้อความ
  • ไบโอเมตริกซ์(Biometrics)
  • การจัดเก็บเมฆ

สิทธิ์ของแอพคืออะไร?(What Are App Permissions?)

เมื่อคุณติดตั้งแอพ แอพมักจะมาพร้อมกับทุกสิ่งที่จำเป็นในการทำงานที่มีอยู่แล้วภายใน มีหลายสิ่งหลายอย่างใน Android ของคุณที่แอปจำเป็นต้องผสานรวมเพื่อให้งานสำเร็จลุล่วง

สมมติว่าคุณ ดาวน์โหลด แอปแก้ไขรูปภาพ (download a photo editing app)นักพัฒนาแอปจะไม่เขียนแกลเลอรีรูปภาพหรือซอฟต์แวร์กล้องถ่ายรูปลงในแอปเอง พวกเขาจะขอเข้าถึงสิ่งเหล่านั้น วิธีนี้ทำให้แอปมีขนาดเล็กและมีประสิทธิภาพ และ Android ของคุณไม่ต้องกรอกโค้ดแอปที่ซ้ำกัน

ฉันควรหลีกเลี่ยงสิทธิ์แอปใด(What App Permissions Should I Avoid?)

สำหรับ นักพัฒนา Androidการอนุญาตแบ่งออกเป็น 2 กลุ่ม: ปกติและอันตราย

สิทธิ์ปกติถือว่าปลอดภัยและมักจะได้รับอนุญาตโดยค่าเริ่มต้นโดยไม่ได้รับอนุญาตจากคุณ สิทธิ์ที่เป็นอันตรายคือสิทธิ์ที่อาจก่อให้เกิดความเสี่ยงต่อความเป็นส่วนตัวของคุณ 

เราจะพิจารณาการอนุญาตอันตราย 30 รายการที่ระบุไว้ใน ข้อมูลอ้างอิง ของนักพัฒนา Android( Android Developer’s Reference)จากGoogle ชื่อของสิทธิ์จะถูกแสดง พร้อมใบเสนอราคาจาก Developer's Referenceเกี่ยวกับสิ่งที่อนุญาต จากนั้นเราจะอธิบายสั้น ๆ ว่าทำไมมันถึงเป็นอันตราย นี่คือการอนุญาตของแอพที่คุณอาจ(may)ต้องการหลีกเลี่ยง ถ้าเป็นไปได้

ACCEPT_HANDOVER

“อนุญาตให้แอปการโทรทำการโทรต่อซึ่งเริ่มต้นในแอพอื่น”

การอนุญาตนี้อนุญาตให้โอนสายไปยังแอพหรือบริการที่คุณอาจไม่ทราบ การดำเนินการนี้อาจทำให้คุณต้องเสียค่าใช้จ่ายหากมีการโอนคุณไปยังบริการที่ใช้โควตาข้อมูลของคุณแทนแผนบริการเซลล์ของคุณ นอกจากนี้ยังสามารถใช้เพื่อบันทึกการสนทนาอย่างลับๆ

ACCESS_BACKGROUND_LOCATION

“อนุญาตให้แอปเข้าถึงตำแหน่งในเบื้องหลัง หากคุณกำลังขออนุญาต คุณต้องขอACCESS_COARSE_LOCATIONหรือACCESS_FINE_LOCATIONด้วย การขออนุญาตด้วยตัวเองไม่ได้ทำให้คุณเข้าถึงตำแหน่งได้”

เช่นเดียวกับ ที่ Googleบอก การอนุญาตนี้เพียงอย่างเดียวจะไม่ติดตามคุณ แต่สิ่งที่ทำได้คือให้คุณถูกติดตาม(allow you to be tracked)ได้ แม้ว่าคุณจะคิดว่าคุณปิดแอปไปแล้วและไม่ได้ติดตามตำแหน่งของคุณอีกต่อไป

ACCESS_COARSE_LOCATION

“อนุญาตให้แอปเข้าถึงตำแหน่งโดยประมาณ”

ความแม่นยำของตำแหน่งคร่าวๆ จะระบุตำแหน่งคุณไปยังพื้นที่ทั่วไป โดยพิจารณาจากเสาสัญญาณของเซลล์ที่อุปกรณ์เชื่อมต่ออยู่ เป็นประโยชน์สำหรับบริการฉุกเฉินในการค้นหาคุณในช่วงที่เกิดปัญหา แต่ไม่มีใครต้องการข้อมูลนั้นจริงๆ

ACCESS_FINE_LOCATION

“อนุญาตให้แอปเข้าถึงตำแหน่งที่แม่นยำ”

เมื่อพวกเขาพูดอย่างแม่นยำก็หมายความตามนั้น การอนุญาตตำแหน่งที่ดีจะใช้ ข้อมูล GPSและWiFiเพื่อระบุว่าคุณอยู่ที่ไหน ความแม่นยำอาจอยู่ในระยะไม่กี่ฟุต ซึ่งอาจระบุตำแหน่งที่คุณอยู่ในบ้านของคุณ

ACCESS_MEDIA_LOCATION

“อนุญาตให้แอปพลิเคชันเข้าถึงตำแหน่งทางภูมิศาสตร์ที่ยังคงอยู่ในคอลเล็กชันที่แชร์ของผู้ใช้”

เว้นแต่คุณจะปิดการติดแท็กตำแหน่งบนรูปภาพและวิดีโอของคุณ(turned off geotagging on your pictures and videos)แอปนี้สามารถเข้าไปสำรวจทั้งหมด และสร้างโปรไฟล์ที่แม่นยำว่าคุณเคยไปที่ไหนโดยอิงจากข้อมูลในไฟล์รูปภาพของ(build an accurate profile of where you’ve been based on data in your photo files)คุณ

ACTIVITY_RECOGNITION

“อนุญาตให้แอปพลิเคชันจดจำการออกกำลังกาย”

ด้วยตัวของมันเองอาจดูเหมือนไม่มาก มักใช้โดยตัวติดตามกิจกรรมเช่น FitBit (activity trackers like FitBit)แต่รวมเข้ากับข้อมูลตำแหน่งอื่นๆ แล้วพวกเขาสามารถทราบได้ว่าคุณกำลังทำอะไรอยู่และคุณกำลังทำอะไรอยู่

ADD_VOICEMAIL

“อนุญาตให้แอปพลิเคชันเพิ่มข้อความเสียงเข้าสู่ระบบ”

สามารถใช้เพื่อวัตถุประสงค์ในการฟิชชิง ลองนึกภาพ(Imagine)การเพิ่มข้อความเสียง(voicemail)จากธนาคารของคุณเพื่อขอให้โทรหาพวกเขา แต่หมายเลขที่ให้มาไม่ใช่หมายเลขของธนาคาร

ANSWER_PHONE_CALLS

“อนุญาตให้แอปรับสายเรียกเข้า”

คุณสามารถดูได้ว่าสิ่งนี้อาจเป็นปัญหาได้อย่างไร ลองนึกภาพ(Imagine)แอปที่รับสายของคุณและทำทุกอย่างที่มันชอบกับพวกเขา

BODY_SENSORS

“อนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลจากเซ็นเซอร์ที่ผู้ใช้ใช้เพื่อวัดสิ่งที่เกิดขึ้นภายในร่างกาย เช่น อัตราการเต้นของหัวใจ(sensors that the user uses to measure what is happening inside their body, such as heart rate)

นี่เป็นอีกข้อมูลหนึ่งที่ข้อมูลโดยตัวมันเองอาจไม่มีความหมายมากนัก แต่เมื่อรวมกับข้อมูลจากเซ็นเซอร์อื่น ๆ สามารถพิสูจน์ได้ว่าเปิดเผยอย่างมาก 

โทรศัพท์(CALL_PHONE)

“อนุญาตให้แอปพลิเคชันเริ่มการโทรโดยไม่ต้องผ่านส่วนต่อประสานผู้ใช้Dialer เพื่อให้ผู้ใช้ยืนยันการโทร”(Dialer)

น่ากลัวพอที่จะคิดว่าแอปสามารถโทรออกโดยที่คุณไม่รู้ตัว จากนั้นลองคิดดูว่ามันจะโทรไปที่หมายเลข 1-900 ได้อย่างไร และคุณสามารถติดเบ็ดได้ในราคาหลายร้อยหรือหลายพันดอลลาร์

กล้อง(CAMERA)

“จำเป็นสำหรับการเข้าถึงอุปกรณ์กล้อง”

แอพจำนวนมากต้องการใช้กล้อง มันสมเหตุสมผลสำหรับสิ่งต่าง ๆ เช่นการแก้ไขรูปภาพหรือโซเชียลมีเดีย แต่ถ้าเกมง่ายๆ สำหรับเด็กต้องการการอนุญาตนี้ นั่นก็น่าขนลุก

READ_CALENDAR

“อนุญาตให้แอปพลิเคชันอ่านข้อมูลปฏิทิน(calendar data) ของผู้ใช้ ”

แอปจะรู้ว่าคุณจะอยู่ที่ไหนและเมื่อไหร่ หากคุณจดบันทึกการนัดหมาย ก็จะรู้ว่าทำไมคุณถึงอยู่ที่นั่น เพิ่มข้อมูลตำแหน่งและแอพจะรู้ว่าคุณไปถึงที่นั่นได้อย่างไร

WRITE_CALENDAR

“อนุญาตให้แอปพลิเคชันเขียนข้อมูลปฏิทินของผู้ใช้”

นักแสดงที่ไม่ดีอาจใช้สิ่งนี้เพื่อใส่การนัดหมายในปฏิทินของคุณ ทำให้คุณคิดว่าคุณอาจต้องไปที่ที่คุณไม่ต้องการ หรือโทรหาคนที่คุณไม่จำเป็นต้องไป

READ_CALL_LOG

“อนุญาตให้แอปพลิเคชันอ่านบันทึกการโทรของผู้ใช้”

เราคุยกับใครและเมื่อไหร่ที่สามารถเปิดเผยชีวิตเราได้มาก โทรหาเพื่อนร่วมงานของคุณในระหว่างวัน? ปกติ(Normal) . โทรหาพวกเขาตอนตี 2 ใน คืน วันเสาร์(Saturday) ? ไม่ธรรมดาเลย

WRITE_CALL_LOG

“อนุญาตให้แอปพลิเคชันเขียน (แต่ไม่อ่าน) ข้อมูลบันทึกการโทรของผู้ใช้”

ไม่น่าจะเกิดขึ้น แต่แอปที่เป็นอันตรายอาจเพิ่มบันทึกการโทรเพื่อตั้งค่าบางอย่างให้คุณ 

READ_CONTACTS

“อนุญาตให้แอปพลิเคชันอ่านข้อมูลผู้ติดต่อของผู้ใช้”

เช่นเดียวกับการอ่านบันทึกการโทรรายชื่อผู้ติดต่อของบุคคลนั้น(person’s contact list)กล่าวถึงพวกเขาได้มากมาย นอกจากนี้ รายการนี้อาจถูกใช้เพื่อฟิชชิงเพื่อนของคุณ ทำให้พวกเขาคิดว่าเป็นคุณที่ส่งข้อความถึงพวกเขา นอกจากนี้ยังสามารถใช้เพื่อสร้างรายชื่ออีเมลทางการตลาดที่บริษัทสามารถขายให้กับผู้โฆษณาได้

WRITE_CONTACTS

“อนุญาตให้แอปพลิเคชันเขียนข้อมูลผู้ติดต่อของผู้ใช้”

เกิดอะไรขึ้นถ้าสามารถใช้เพื่อแก้ไขหรือเขียนทับรายชื่อติดต่อของคุณได้ ลองนึกภาพ(Imagine)ถ้ามันเปลี่ยนหมายเลขสำหรับนายหน้าจำนองของคุณเป็นหมายเลขอื่น และคุณโทรหาผู้หลอกลวงและให้ข้อมูลทางการเงินของคุณแก่พวกเขา

READ_EXTERNAL_STORAGE

“อนุญาตให้แอปพลิเคชันอ่านจากที่จัดเก็บข้อมูลภายนอก”

สามารถเข้าถึง ที่จัดเก็บข้อมูลใดๆ ที่เสียบเข้ากับอุปกรณ์ของคุณ เช่นการ์ด microSD(microSD card)หรือแม้แต่แล็ปท็อป หากคุณอนุญาต

WRITE_EXTERNAL_STORAGE

“อนุญาตให้แอปพลิเคชันเขียนไปยังที่จัดเก็บข้อมูลภายนอก”

หากคุณให้สิทธิ์นี้ การอนุญาตREAD_EXTERNAL_STORAGEก็จะได้รับโดยปริยายเช่นกัน ตอนนี้แอพสามารถทำสิ่งที่ต้องการด้วยการจัดเก็บข้อมูลที่เชื่อมต่อ

READ_PHONE_NUMBERS

อนุญาตให้(Allows)เข้าถึงการอ่านหมายเลขโทรศัพท์ของอุปกรณ์ “

หากแอปขอสิ่งนี้และคุณอนุญาต แอปจะทราบหมายเลขโทรศัพท์ของคุณแล้ว คาดว่าจะได้รับ robocall(get some robocalls)ในเร็ว ๆ นี้หากแอปไม่สมบูรณ์

READ_PHONE_STATE

อนุญาตให้(Allows)เข้าถึงสถานะโทรศัพท์แบบอ่านอย่างเดียว รวมถึงข้อมูลเครือข่ายมือถือปัจจุบัน สถานะของการโทรที่กำลังดำเนินอยู่ และรายการบัญชีโทรศัพท์ที่ลงทะเบียนบนอุปกรณ์”

การอนุญาตนี้สามารถใช้เพื่ออำนวยความสะดวกในการดักฟังและติดตามคุณโดยเครือข่ายที่คุณอยู่ใน

READ_SMS

“อนุญาตให้แอปพลิเคชันอ่าน ข้อความ SMS

อีกครั้ง(Again)อีกวิธีในการดักฟังและรวบรวมข้อมูลส่วนบุคคลของคุณ คราวนี้โดยการอ่านข้อความของคุณ

SEND_SMS

“อนุญาตให้แอปพลิเคชันส่งข้อความ SMS(SMS messages)

สามารถใช้ลงทะเบียนเพื่อรับบริการส่งข้อความแบบชำระเงิน เช่น ดูดวงรายวันของคุณ ซึ่งอาจทำให้คุณเสียเงินเป็นจำนวนมากได้อย่างรวดเร็ว

RECEIVE_MMS

“อนุญาตให้แอปพลิเคชันตรวจสอบ ข้อความ MMS ที่เข้ามา ”

แอปจะสามารถเห็นรูปภาพหรือวิดีโอที่ส่งถึงคุณ

RECEIVE_SMS

“อนุญาตให้แอปพลิเคชันรับ ข้อความ SMS

แอพนี้จะอนุญาตให้ตรวจสอบข้อความของคุณ

RECEIVE_WAP_PUSH

“อนุญาตให้แอปพลิเคชันรับข้อความพุชWAP ”

ข้อความ พุช WAPคือข้อความที่เป็นลิงก์ของเว็บด้วย การเลือกข้อความอาจเป็นการเปิดเว็บไซต์ฟิชชิ่งหรือมัลแวร์

RECORD_AUDIO

“อนุญาตให้แอปพลิเคชันบันทึกเสียง”

อีกวิธีหนึ่งในการดักฟังผู้คน นอกจากนี้ ยังมีอีกมากที่คุณสามารถเรียนรู้จากเสียงรอบๆ ตัวบุคคลได้ แม้ว่าพวกเขาจะไม่ได้พูดก็ตาม

USE_SIP

“อนุญาตให้แอปพลิเคชันใช้ บริการ SIP

หากคุณไม่รู้ว่าเซสชัน SIP คืออะไร ให้นึกถึงSkype หรือ Zoom (Skype or Zoom)นั่นคือการสื่อสารที่เกิดขึ้นผ่านการเชื่อมต่อVoIP นี่เป็นเพียงอีกวิธีหนึ่งที่แอปที่เป็นอันตรายสามารถรับชมและฟังคุณได้

ฉันควรหลีกเลี่ยงการอนุญาต Android ทั้งหมดหรือไม่(Should I Avoid All Android Permissions?)

เราต้องดูการอนุญาตในบริบทของสิ่งที่เราต้องการให้แอปทำเพื่อเรา หากเราต้องบล็อกการอนุญาตทั้งหมดสำหรับทุกแอพ แอพของเราจะไม่ทำงาน

คิดว่า อุปกรณ์ (Think)Androidของคุณเป็นบ้านของคุณ สำหรับการเปรียบเทียบของเรา ให้คิดว่าแอปนี้เป็นช่างซ่อมที่เข้ามาในบ้านของคุณ พวกเขามีงานเฉพาะที่ต้องทำและจะต้องเข้าถึงบางส่วนของบ้านของคุณ แต่ไม่ใช่ส่วนอื่นๆ

หากคุณมีช่างประปาเข้ามาซ่อมอ่างล้างจาน พวกเขาจะต้องได้รับอนุญาตจากคุณเพื่อเข้าถึงอ่างล้างจานและท่อที่จ่ายและจ่ายน้ำ แค่นั้นแหละ. ดังนั้น ถ้าช่างประปาขอดูห้องนอนของคุณ คุณคงสงสัยในสิ่งที่พวกเขากำลังทำ เช่นเดียวกับแอพ พึงระลึกไว้เสมอว่าเมื่อคุณยอมรับการอนุญาตของแอพ



About the author

ฉันเป็นนักพัฒนาเว็บที่มีประสบการณ์มากกว่า 10 ปี ฉันเชี่ยวชาญด้านการพัฒนา Chrome OS และเคยทำงานในโครงการต่างๆ มากมายตั้งแต่สตาร์ทอัพขนาดเล็กไปจนถึงบริษัทที่ติดอันดับ Fortune 500 ฉันยังเป็นผู้เชี่ยวชาญในบัญชีผู้ใช้และความปลอดภัยของครอบครัว และได้พัฒนาแอพ Android ที่ประสบความสำเร็จหลายตัว



Related posts