สิทธิ์การใช้งานแอปพลิเคชัน

Q: อุปกรณ์เคลื่อนที่

ในระบบปฏิบัติการมือถือสำหรับ สมาร์ทโฟน และ แท็บเล็ต ประเภทของสิทธิ์ทั่วไปจะถูกควบคุมดังนี้: [ 1 ] [ 2 ]

Q: สิทธิ์การเข้าถึงเว็บ

WebPermissions เป็นระบบอนุญาตสำหรับ เว็บเบราว์เซอร์ [ 8 ] เมื่อ เว็บ แอปพลิ เคชันต้องการข้อมูลบางอย่างที่ต้องได้รับอนุญาต จะต้องขออนุญาตก่อน เมื่อทำเช่นนั้น ผู้ใช้จะเห็นหน้าต่างขอให้เลือก ระบบจะจดจำตัวเลือกนั้นไว้ แต่สามารถล้างได้ในภายหลัง

สิทธิ์การเข้าถึงเป็นวิธีการควบคุมและจำกัดการเข้าถึงฟังก์ชันเฉพาะระดับระบบและอุปกรณ์โดยซอฟต์แวร์ โดยทั่วไป ประเภทของสิทธิ์การเข้าถึงจะครอบคลุมฟังก์ชันที่อาจมีผลกระทบต่อความเป็นส่วนตัว เช่น ความสามารถในการเข้าถึงคุณสมบัติฮาร์ดแวร์ของอุปกรณ์ (รวมถึงกล้องและไมโครโฟน) และข้อมูลส่วนบุคคล (เช่น อุปกรณ์จัดเก็บข้อมูล รายชื่อผู้ติดต่อ และตำแหน่งทางภูมิศาสตร์ปัจจุบันของผู้ใช้) โดยปกติแล้ว สิทธิ์การเข้าถึงจะถูกประกาศไว้ในไฟล์ manifest ของแอปพลิเคชัน และสิทธิ์การเข้าถึงบางอย่างจะต้องได้รับอนุญาตเป็นพิเศษในระหว่างการใช้งานโดยผู้ใช้ ซึ่งผู้ใช้สามารถเพิกถอนสิทธิ์การเข้าถึงได้ตลอดเวลา

ระบบการขออนุญาตเป็นเรื่องปกติในระบบปฏิบัติการมือถือ โดยจะต้องเปิดเผยสิทธิ์ที่แอปพลิเคชันเฉพาะต้องการผ่านทางแอปสโตร์ของแพลตฟอร์มนั้นๆ

อุปกรณ์เคลื่อนที่

ในระบบปฏิบัติการมือถือสำหรับสมาร์ทโฟนและแท็บเล็ตประเภทของสิทธิ์ทั่วไปจะถูกควบคุมดังนี้: ^{[ 1 ]}^{[ 2 ]}

การเข้าถึง ข้อมูล จัดเก็บและข้อมูลส่วนบุคคล เช่นรายชื่อผู้ติดต่อการนัดหมายในปฏิทิน เป็นต้น
การติดตามตำแหน่งที่ตั้ง
การ เข้าถึงกล้อง ภายใน และ/หรือไมโครโฟนของอุปกรณ์
การเข้าถึงเซ็นเซอร์ไบโอเมตริกซ์ รวมถึง เครื่องอ่านลายนิ้วมือและเซ็นเซอร์สุขภาพอื่นๆ
การเข้าถึงอินเทอร์เน็ต
การเข้าถึงอินเทอร์เฟซการสื่อสาร (รวมถึงตัวระบุฮาร์ดแวร์และความแรงของสัญญาณในกรณีที่เกี่ยวข้อง และคำขอเพื่อเปิดใช้งาน) เช่นBluetooth , Wi-Fi , NFCและอื่นๆ
การโทรออกและรับสาย
การส่งและการอ่านข้อความ
ความสามารถในการซื้อสินค้าภายในแอปพลิ เค ชัน
ความสามารถในการ "ซ้อนทับ" ตัวเองภายในแอปพลิเคชันอื่นๆ
การติดตั้ง การลบ และการจัดการแอปพลิเคชันอื่นๆ
โทเค็นการตรวจสอบสิทธิ์ (เช่น โทเค็น OAuth ) จากบริการเว็บจะถูกจัดเก็บไว้ในพื้นที่จัดเก็บข้อมูลของระบบ เพื่อให้สามารถใช้งานร่วมกันระหว่างแอปต่างๆ ได้

ก่อนAndroid 6.0 "Marshmallow"สิทธิ์ต่างๆ จะถูกมอบให้กับแอปโดยอัตโนมัติในระหว่างการทำงาน และจะแสดงขึ้นเมื่อติดตั้งในGoogle Play Storeตั้งแต่ Marshmallow เป็นต้นมา สิทธิ์บางอย่างจำเป็นต้องให้แอปขออนุญาตจากผู้ใช้ในระหว่างการทำงาน สิทธิ์เหล่านี้สามารถเพิกถอนได้ตลอดเวลาผ่านเมนูการตั้งค่าของ Android ^{[ 3 ]}บางครั้งนักพัฒนาแอปใช้สิทธิ์บน Android ในทางที่ผิดเพื่อรวบรวมข้อมูลส่วนบุคคลและนำเสนอโฆษณา โดยเฉพาะอย่างยิ่ง แอปที่ใช้แฟลชกล้องของโทรศัพท์เป็นไฟฉาย (ซึ่งส่วนใหญ่ไม่จำเป็นแล้วเนื่องจากการรวมฟังก์ชันดังกล่าวไว้ในระดับระบบใน Android เวอร์ชันต่อมา) มักต้องการสิทธิ์ที่ไม่จำเป็นจำนวนมากเกินกว่าที่จำเป็นสำหรับฟังก์ชันที่ระบุไว้^{[ 4 ]}^{[ 5 ]}

iOS กำหนดข้อกำหนดที่คล้ายกันสำหรับการอนุญาตที่ต้องให้ในระหว่างรันไทม์ โดยมีการควบคุมเฉพาะสำหรับการเปิดใช้งานบลูทูธ Wi-Fi และการติดตามตำแหน่ง^{[ 6 ]}^{[ 7 ]}

สิทธิ์การเข้าถึงเว็บ

WebPermissions เป็นระบบอนุญาตสำหรับเว็บเบราว์เซอร์ [ ^{8 ] เมื่อ}เว็บแอปพลิเคชันต้องการข้อมูลบางอย่างที่ต้องได้รับอนุญาต จะต้องขออนุญาตก่อน เมื่อทำเช่นนั้น ผู้ใช้จะเห็นหน้าต่างขอให้เลือก ระบบจะจดจำตัวเลือกนั้นไว้ แต่สามารถล้างได้ในภายหลัง

ขณะนี้ทรัพยากรต่อไปนี้อยู่ภายใต้การควบคุม:

ตำแหน่งทางภูมิศาสตร์^{[ 9 ]}
การแจ้งเตือนบนเดสก์ท็อป^{[ 10 ]}
พนักงานบริการ^{[ 11 ]}^{[ 12 ]}
เซ็นเซอร์
- อุปกรณ์บันทึกเสียง^{[ 13 ]}เช่นการ์ดเสียงและชื่อรุ่นและลักษณะเฉพาะของอุปกรณ์เหล่านั้น
- อุปกรณ์จับภาพวิดีโอ^{[ 13 ]}เช่นกล้องและตัวระบุและลักษณะเฉพาะของอุปกรณ์เหล่านั้น

การวิเคราะห์

รูปแบบการควบคุมการเข้าถึงแบบอิงตามสิทธิ์จะกำหนดสิทธิ์การเข้าถึงสำหรับวัตถุข้อมูลบางอย่างให้กับแอปพลิเคชัน รูปแบบนี้พัฒนามาจากรูปแบบการควบคุมการเข้าถึงแบบใช้ดุลยพินิจ โดยปกติแล้วสิทธิ์การเข้าถึงจะได้รับอนุญาตในบริบทของผู้ใช้เฉพาะรายบนอุปกรณ์เฉพาะ สิทธิ์เหล่านั้นจะได้รับอนุญาตอย่างถาวรโดยมีข้อจำกัดอัตโนมัติเพียงเล็กน้อย

ในบางกรณี การกำหนดสิทธิ์การเข้าถึงจะใช้แนวทาง "ทั้งหมดหรือไม่มีเลย" กล่าวคือ ผู้ใช้ต้องให้สิทธิ์ที่จำเป็นทั้งหมดเพื่อเข้าถึงแอปพลิเคชัน มิฉะนั้นจะไม่สามารถเข้าถึงแอปพลิเคชันได้ ยังคงขาดความโปร่งใสเมื่อโปรแกรมหรือแอปพลิเคชันใช้สิทธิ์นั้นเพื่อเข้าถึงข้อมูลที่ได้รับการปกป้องโดยกลไกการควบคุมการเข้าถึงสิทธิ์ แม้ว่าผู้ใช้จะสามารถเพิกถอนสิทธิ์ได้ แต่แอปก็อาจข่มขู่ผู้ใช้ได้โดยการปฏิเสธการทำงาน เช่น การทำให้แอปหยุดทำงานหรือขอให้ผู้ใช้ให้สิทธิ์อีกครั้งเพื่อเข้าถึงแอปพลิ เคชัน

กลไกการขออนุญาตดังกล่าวถูกวิพากษ์วิจารณ์อย่างกว้างขวางจากนักวิจัยด้วยเหตุผลหลายประการ รวมถึง:

ความไม่โปร่งใสของการดึงข้อมูลส่วนบุคคลและการเฝ้าระวัง รวมถึงการสร้างความรู้สึกปลอดภัยที่ผิดพลาด^{[ 14 ]}^{[ 15 ]}
ความเหนื่อยล้าของผู้ใช้ปลายทางในการจัดการสิทธิ์การเข้าถึงอย่างละเอียดนำไปสู่การยอมรับการเฝ้าระวังและความไม่โปร่งใสอย่างสิ้นหวัง^{[ 16 ]}
การดึงข้อมูลจำนวนมากและการเฝ้าระวัง ส่วนบุคคล จะดำเนินการเมื่อได้รับอนุญาตแล้ว^{[ 17 ]}^{[ 18 ]}

แอปบางแอป เช่น XPrivacy และ Mockdroid ^{[ 19 ]}ปลอมแปลงข้อมูลเพื่อใช้เป็นมาตรการด้านความเป็นส่วนตัว วิธีการโปร่งใสเพิ่มเติม ได้แก่ การสร้างโปรไฟล์พฤติกรรมตามช่วงเวลาและการวิเคราะห์ความเป็นส่วนตัวจากหลายแหล่งของการเข้าถึงข้อมูลแอป^{[ 20 ]}^{[ 21 ]}

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

8 ] เมื่อ

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

สิทธิ์การใช้งานแอปพลิเคชัน

อุปกรณ์เคลื่อนที่

สิทธิ์การเข้าถึงเว็บ

การวิเคราะห์

ข้อมูลสำคัญจากบทความ