การตรวจสอบ Dangerous Permission

หมวดหมู่ Android

บทความนี้กล่าวถึงข้อมูล Permission ที่ผู้ใช้งานเครื่อง Android หรือนักทดสอบเจาะระบบจำเป็นต้องตรวจสอบ และพูดคุยกับนักพัฒนาโปรแกรม เพื่อให้ทราบถึงความจำเป็นต่าง ๆ ของ Dangerous Permission ที่ App จำเป็นต้องขอ โดยสามารถติดตามบทความเพิ่มเติมจาก การขออนุญาตใช้งานแอปบน Android และ การเขียนโปรแกรมเพื่อดึงข้อมูล Permission

Warunyou Sunpachit และ Boonperm Mark
Cybersecurity consultant

Body sensors

android.permission-group.SENSORS และ android.permission-group.ACTIVITY_RECOGNITION

เป็นกลุ่มของสิทธิ์ใน Android ที่เกี่ยวข้องกับการเข้าถึงและจัดการเซ็นเซอร์ต่าง ๆ ของอุปกรณ์. สิทธิ์ที่อยู่ในกลุ่มนี้มีดังนี้

  • android.permission.BODY_SENSORS สิทธิ์นี้อนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลจากเซ็นเซอร์ที่ใช้สำหรับการติดตามสุขภาพหรือการออกกำลังกาย ซึ่งอาจรวมถึงข้อมูลจากเซ็นเซอร์หัวใจ ข้อมูลขั้นบันได ข้อมูลการเดิน และอื่น ๆ
  • android.permission.ACTIVITY_RECOGNITION สิทธิ์ใน Android ที่แอพพลิเคชั่นสามารถขอเพื่อเข้าถึงข้อมูลการรับรู้กิจกรรมของผู้ใช้งาน เช่น การเดิน การวิ่ง หรือการขับขี่ จากเซ็นเซอร์ต่างๆ บนอุปกรณ์

ตัวอย่างของแอปพลิเคชันที่อาจจะใช้สิทธิ์นี้มีดังนี้:

  1. แอปพลิเคชันฟิตเนส: แอปพลิเคชันที่ติดตามการออกกำลังกายหรือสุขภาพ, เช่น Google Fit, Fitbit, หรือ MyFitnessPal, อาจใช้สิทธิ์นี้เพื่อเข้าถึงข้อมูลเช่น อัตราการเต้นของหัวใจ, การเคลื่อนไหว, หรือการนอนหลับของผู้ใช้.
  2. แอปพลิเคชันสุขภาพ: แอปพลิเคชันที่ให้คำแนะนำเกี่ยวกับสุขภาพหรือติดตามสุขภาพของผู้ใช้, เช่น Samsung Health หรือ Apple Health, อาจใช้สิทธิ์นี้เพื่อเข้าถึงข้อมูลที่เกี่ยวข้องกับสุขภาพของผู้ใช้.
  3. แอปพลิเคชันสำหรับผู้สูงอายุ: แอปพลิเคชันที่ออกแบบมาเพื่อช่วยผู้สูงอายุหรือผู้ที่มีความต้องการพิเศษ, เช่น Fall Alert, อาจใช้สิทธิ์นี้เพื่อตรวจจับการเคลื่อนไหวที่ผิดปกติ และแจ้งเตือนให้ผู้ดูแลหรือบุคคลที่เกี่ยวข้อง.

ข้อควรระวัง

การเข้าถึงข้อมูลจากเซ็นเซอร์เป็นสิ่งที่มีผลกระทบกับความเป็นส่วนตัวของผู้ใช้ ดังนั้นควรขอสิทธิ์นี้เมื่อจำเป็นจริงและแสดงวัตถุประสงค์ที่ชัดเจนกับผู้ใช้.

Calendar

android.permission-group.CALENDAR

คือกลุ่มสิทธิที่ให้แอปพลิเคชันเข้าถึงปฏิทินและกิจกรรมของผู้ใช้ กลุ่มนี้รวมถึงสิทธิ์การเข้าถึง เช่น READ_CALENDAR, WRITE_CALENDAR ซึ่งช่วยให้แอปสามารถอ่าน แก้ไข และซิงค์ข้อมูลปฏิทินบนอุปกรณ์ได้ สร้างและแก้ไขกิจกรรม ดูและตอบกลับคำเชิญ และเข้าถึงข้อมูลอื่น ๆ เกี่ยวกับปฏิทิน

  • android.permission.READ_CALENDAR สิทธิ์นี้อนุญาตให้แอปพลิเคชันอ่านข้อมูลจากปฏิทินของผู้ใช้ รวมถึงรายละเอียดของกิจกรรมที่จัดการผ่านปฏิทิน
  • android.permission.WRITE_CALENDAR สิทธิ์นี้อนุญาตให้แอปพลิเคชันสร้าง, แก้ไข, หรือลบกิจกรรมในปฏิทินของผู้ใช้

ตัวอย่างของแอปพลิเคชันที่อาจจะใช้สิทธิ์เหล่านี้มีดังนี้:

  1. แอปพลิเคชันปฏิทิน: แอปพลิเคชันปฏิทินทั่วไป ทั้งแอปพลิเคชันที่ติดมากับระบบและแอปพลิเคชันของบุคคลที่สาม, อาจจะขอสิทธิ์เหล่านี้เพื่อการจัดการกิจกรรม, การประชุม, และวันหยุดอื่น ๆ ในปฏิทินของผู้ใช้.
  2. แอปพลิเคชันจัดการงาน: แอปพลิเคชันที่ช่วยผู้ใช้จัดการงานของตัวเอง อาจขอสิทธิ์เหล่านี้เพื่อรวมงานและกิจกรรมลงในปฏิทินของผู้ใช้.
  3. แอปพลิเคชันการออกกำลังกาย: แอปพลิเคชันการออกกำลังกายบางแอปพลิเคชัน อาจขอสิทธิ์เหล่านี้เพื่อเพิ่มหรือแก้ไขวันและเวลาที่ผู้ใช้จะออกกำลังกาย.
  4. แอปพลิเคชันจองโรงแรมหรือตั๋วเครื่องบิน: แอปพลิเคชันที่ให้บริการจองโรงแรมหรือตั๋วเครื่องบิน อาจขอสิทธิ์เหล่านี้เพื่อเพิ่มการจองลงในปฏิทินของผู้ใช้.

ข้อควรระวัง

ผู้ใช้ควรตระหนักถึงการอนุญาตเหล่านี้ โดยอาจเปิดโอกาสให้แอปพลิเคชันเข้าถึงข้อมูลที่เป็นความลับ เช่นตารางเวลาของผู้ใช้ ดังนั้นผู้ใช้ควรพิจารณาอย่างรอบคอบว่าจะให้การอนุญาตเหล่านี้แก่แอปพลิเคชันใด และตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการอนุญาตเหล่านี้เกี่ยวกับการรักษาความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งานในการใช้งานแอปพลิเคชันนั้น ๆ

Contacts

android.permission-group.CONTACTS

คือกลุ่มสิทธิ์ที่ให้แอปพลิเคชันเข้าถึงรายชื่อและข้อมูลที่เกี่ยวข้องกับรายชื่อติดต่อของผู้ใช้งาน โดยมีสิทธิ์ของการอ่าน สร้าง แก้ไข และเรียกดูข้อมูลเกี่ยวกับรายชื่อติดต่อ เหล่านี้ด้วย

  • android.permission.WRITE_CONTACTS สิทธิ์นี้อนุญาตให้แอปพลิเคชันสามารถสร้าง แก้ไข หรือลบข้อมูลติดต่อของผู้ใช้ได้
  • android.permission.READ_CONTACTS สิทธิ์นี้อนุญาตให้แอปพลิเคชันสามารถอ่านข้อมูลติดต่อของผู้ใช้ได้
  • android.permission.GET_ACCOUNTS สิทธิ์นี้อนุญาตให้แอปพลิเคชันสามารถเข้าถึงรายชื่อบัญชีที่สร้างโดยแอปพลิเคชันบนอุปกรณ์ได้

ตัวอย่างของแอปพลิเคชันที่อาจจะใช้สิทธิ์เหล่านี้มีดังนี้:

  1. แอปพลิเคชันสื่อสาร: แอปพลิเคชันสำหรับการส่งข้อความ, โทรศัพท์, หรือวิดีโอคอล อาจจะขอสิทธิ์เหล่านี้เพื่อส่งข้อความหรือโทรออกไปยังผู้ที่อยู่ในรายชื่อติดต่อของผู้ใช้.
  2. แอปพลิเคชันสำหรับแชร์ไฟล์: แอปพลิเคชันที่ช่วยให้ผู้ใช้ส่งไฟล์หรือเอกสารไปยังผู้อื่น อาจจะขอสิทธิ์เหล่านี้เพื่อค้นหาผู้ที่ผู้ใช้อาจต้องการแชร์ไฟล์ด้วย.
  3. แอปพลิเคชันเครือข่ายสังคม: แอปพลิเคชันเครือข่ายสังคม อาจจะขอสิทธิ์เหล่านี้เพื่อหาเพื่อนหรือคนรู้จักที่อยู่ในรายชื่อติดต่อของผู้ใช้ เพื่อเชิญพวกเขาเข้าร่วมเครือข่ายสังคมหรือเชื่อมต่อกับพวกเขา.
  4. แอปพลิเคชันอีเมล: แอปพลิเคชันที่ให้บริการอีเมล อาจขอสิทธิ์เหล่านี้เพื่อสร้าง, แก้ไข, หรือลบข้อมูลติดต่อ, หรือเพื่อเข้าถึงบัญชีอีเมลของผู้ใช้.

ข้อควรระวัง

ผู้ใช้งานควรระวังว่าการให้สิทธิ์การเข้าถึงนี้แก่แอปพลิเคชันอาจเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ชื่อ หมายเลขโทรศัพท์ และที่อยู่อีเมลของผู้ติดต่อของผู้ใช้งาน ดังนั้น ผู้ใช้งานควรพิจารณาอย่างรอบคอบว่าจะให้สิทธิ์การเข้าถึงนี้แก่แอปพลิเคชันใด ๆ และต้องตระหนักถึงความเสี่ยงที่เกี่ยวกับการให้สิทธิ์การเข้าถึง

Camera 

android.permission-group.CAMERA

เป็นกลุ่มของสิทธิ์ใน Android ที่เกี่ยวข้องกับการเข้าถึงและจัดการกล้องของอุปกรณ์. สิทธิ์ที่อยู่ในกลุ่มนี้มีดังนี้

  • android.permission.CAMERA สิทธิ์นี้อนุญาตให้แอปพลิเคชันเข้าถึงและใช้งานกล้องของอุปกรณ์. ซึ่งใช้ในการถ่ายภาพหรือวิดีโอ
  • android.permission.FLASHLIGHT สิทธิ์นี้อนุญาตให้แอปพลิเคชันควบคุมและใช้งานแฟลชไลท์ของกล้อง

ตัวอย่างของแอปพลิเคชันที่อาจจะใช้สิทธิ์เหล่านี้มีดังนี้:

  1. แอปพลิเคชันกล้อง: แอปพลิเคชันกล้อง, เช่น Google Camera หรือ Camera360, จำเป็นต้องเข้าถึงกล้องเพื่อถ่ายภาพหรือวิดีโอ, และอาจจะเข้าถึงไฟแฟลชเพื่อใช้เป็นแสงสนับสนุนในการถ่ายภาพ.
  2. แอปพลิเคชันสแกนเนอร์ QR code: แอปพลิเคชันที่สแกน QR code, เช่น QR Code Reader, ต้องเข้าถึงกล้องเพื่อสแกน QR code.
  3. แอปพลิเคชันวิดีโอคอล: แอปพลิเคชันที่ให้บริการวิดีโอคอล, เช่น Skype หรือ Zoom, ต้องเข้าถึงกล้องเพื่อให้ผู้ใช้สามารถแสดงวิดีโอของตนเองในระหว่างการคอล.
  4. แอปพลิเคชันไฟฉาย: แอปพลิเคชันที่ใช้เป็นไฟฉาย, เช่น Flashlight by ArtLine, จะใช้สิทธิ์ FLASHLIGHT เพื่อควบคุมไฟแฟลชบนอุปกรณ์ของผู้ใช้.

ข้อควรระวัง

การเข้าถึงกล้องเป็นสิ่งที่มีผลกระทบกับความเป็นส่วนตัวของผู้ใช้ ดังนั้นควรขอสิทธิ์เหล่านี้เมื่อจำเป็นจริงและแสดงวัตถุประสงค์ที่ชัดเจนกับผู้ใช้

Location 

android.permission-group.LOCATION

เป็นกลุ่มของสิทธิ์ใน Android ที่เกี่ยวข้องกับการเข้าถึงและจัดการที่ตั้งปัจจุบันของอุปกรณ์. สิทธิ์ที่อยู่ในกลุ่มนี้มีดังนี้

  • android.permission.ACCESS_FINE_LOCATION สิทธิ์นี้อนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลที่ตั้งแบบรายละเอียด (GPS) ของอุปกรณ์, ซึ่งสามารถให้ข้อมูลตำแหน่งที่แม่นยำมากขึ้น
  • android.permission.ACCESS_COARSE_LOCATION สิทธิ์นี้อนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลที่ตั้งแบบคร่าวๆ (network-based) ของอุปกรณ์
  • android.permission.ACCESS_BACKGROUND_LOCATION ใน Android 10 (API level 29) และสูงกว่า, มีการเพิ่ม ACCESS_BACKGROUND_LOCATION ซึ่งอนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลที่ตั้งของอุปกรณ์แม้ว่าแอปพลิเคชันจะไม่ทำงานอยู่ในพื้นหลัง

ตัวอย่างของแอปพลิเคชันที่อาจจะใช้สิทธิ์เหล่านี้มีดังนี้:

  1. แอปพลิเคชันแผนที่และนำทาง: แอปพลิเคชันที่ช่วยผู้ใช้นำทางหรือค้นหาสถานที่, เช่น Google Maps หรือ Waze, จำเป็นต้องรู้ที่ตั้งจริงของผู้ใช้เพื่อทำงานได้อย่างถูกต้อง.
  2. แอปพลิเคชันบริการขนส่ง: แอปพลิเคชันบริการขนส่ง, เช่น Uber หรือ Lyft, ต้องรู้ที่ตั้งของผู้ใช้เพื่อส่งรถมารับ และเพื่อแสดงเส้นทางการเดินทาง.
  3. แอปพลิเคชันสภาพอากาศ: แอปพลิเคชันสภาพอากาศ, เช่น AccuWeather หรือ Weather.com, อาจใช้ที่ตั้งของผู้ใช้เพื่อแสดงสภาพอากาศที่ถูกต้องสำหรับพื้นที่ของผู้ใช้.
  4. แอปพลิเคชันสุขภาพและฟิตเนส: แอปพลิเคชันที่ติดตามการออกกำลังกาย, เช่น Strava หรือ Nike Run Club, อาจใช้ที่ตั้งของผู้ใช้เพื่อติดตามระยะทางการวิ่งหรือเดินของผู้ใช้.

ข้อควรระวัง

การเข้าถึงข้อมูลที่ตั้งเป็นสิ่งที่มีผลกระทบกับความเป็นส่วนตัวของผู้ใช้ ดังนั้นควรขอสิทธิ์เหล่านี้เมื่อจำเป็นจริงและแสดงวัตถุประสงค์ที่ชัดเจนกับผู้ใช้.

อ้างอิง