為什么Android總是事無(wú)巨細(xì)地告訴你應(yīng)用索取的每一項(xiàng)權(quán)限?本文將分析這個(gè)問(wèn)題，并就如何控制權(quán)限提出一些方法。

相比Apple，Microsoft嚴(yán)格控制生態(tài)系統(tǒng)(從蘋(píng)果給開(kāi)發(fā)者的"App Store Guideline"可見(jiàn)一斑)，只允許通過(guò)官方應(yīng)用商店安裝應(yīng)用，并對(duì)每份上傳進(jìn)行仔細(xì)地審查而言，Android的開(kāi)放就意味著，Google需要向 用戶提供一系列用于為自己負(fù)責(zé)的流程、工具。所以在安裝應(yīng)用前，Android總是要事無(wú)巨細(xì)地告訴你，應(yīng)用肯需要控制什么權(quán)限。

同樣，開(kāi)發(fā)者也制作了一系列易用的工具，用以鑒別可疑的應(yīng)用程序，或是控制權(quán)限。

Andoird哪里開(kāi)放了?

在Android中，用戶能自由從本地安裝應(yīng)用，自由地對(duì)SD卡進(jìn)行操作，自由選擇應(yīng)用市場(chǎng)。

如果愿意放棄保修，用戶還能輕易地實(shí)行root，解鎖基帶(baseband)。只有一些產(chǎn)品會(huì)嚴(yán)密地鎖定bootloader(如摩托羅拉)。

最重要的是，因?yàn)锳SOP(Android源代碼開(kāi)放計(jì)劃)的存在，絕大部分的Android代碼都是開(kāi)源的，開(kāi)發(fā)者可以由此對(duì)Android系統(tǒng)進(jìn)行 深入的修改，甚至可以自行編寫(xiě)一個(gè)符合Android規(guī)范的系統(tǒng)實(shí)例(如Cyanogen Mod)。正是因?yàn)锳SOP，這篇文章才可能介紹多達(dá)5種原理不同的權(quán)限控制方法。

開(kāi)放的風(fēng)險(xiǎn)

不考慮Symbian，Windows Phone 6.5(及以下)平臺(tái)，那么幾乎所有的智能手機(jī)病毒都是Android平臺(tái)的，甚至官方Android Market也鬧過(guò)幾次烏龍。在國(guó)內(nèi)水貨橫行的市場(chǎng)，情況更是火上澆油，不法業(yè)者可以在手機(jī)的ROM，甚至是bootloader中做好手腳，讓用戶有病無(wú)法醫(yī)。

在Android中，用戶可以允許系統(tǒng)安裝來(lái)自"未知源"(也就是非Google官方的，或手機(jī)預(yù)置市場(chǎng)的)應(yīng)用程序。于是，移動(dòng)平臺(tái)最重要的門神------數(shù)字簽名就被繞過(guò)了。

出于Android的開(kāi)放性，也有不允許"未知源"的反例：亞馬遜的Kindle Fire平板使用了深度定制的Android，它只允許安裝來(lái)自亞馬遜官方商店的應(yīng)用程序。

2 Android有哪些"權(quán)限"

首先需要明確一下Android中的種種"權(quán)限"。Android是在Linux內(nèi)核上建立一個(gè)硬件抽象層(Android HAL)，通過(guò)Dalvik以及各種庫(kù)來(lái)執(zhí)行android應(yīng)用的。在手機(jī)啟動(dòng)時(shí)，首先需要由Bootloader(HTC手機(jī)上稱作Hboot)引導(dǎo) Linux及手機(jī)上各個(gè)硬件設(shè)備的驅(qū)動(dòng)程序，之后才啟動(dòng)Android系統(tǒng)。所以其實(shí)我們會(huì)涉及到四種不同涵義的權(quán)限：

Android權(quán)限(Permission)

這指Android中的一系列"Android.Permission.*"對(duì)象，是本文的中心內(nèi)容。

Google在Android框架內(nèi)把各種對(duì)象(包括設(shè)備上的各類數(shù)據(jù)，傳感器，撥打電話，發(fā)送信息，控制別的應(yīng)用程序等)的訪問(wèn)權(quán)限進(jìn)行了詳細(xì)的劃 分，列出了約一百條"Android.Permission"。應(yīng)用程序在運(yùn)行前必須向Android系統(tǒng)聲明它將會(huì)用到的權(quán)限，否則Android將會(huì) 拒絕該應(yīng)用程序訪問(wèn)通過(guò)該"Permission"許可的內(nèi)容。

比方說(shuō)，搜狗輸入法提供了一個(gè)智能通訊錄的功能，用戶可以在輸入聯(lián)系人 拼音的前幾個(gè)字符，或首字母，輸入法就能自動(dòng)呈現(xiàn)相關(guān)聯(lián)系人的名字。為了實(shí)現(xiàn)這個(gè)功能，輸入法必須聲明它需要讀取手機(jī)中聯(lián)系人的能力，也就是在相關(guān)代碼中 加上聲明"android.permission.READ_CONTACTS"對(duì)象。

原生Android只提供了對(duì)"一刀切"式的管理，要么同意使用，否則就根本就不安裝應(yīng)用程序。當(dāng)用戶遇到希望使用程序的同時(shí)，又想禁止部分Permission的場(chǎng)合，他就無(wú)路可走。

于是，不少開(kāi)發(fā)者就搗鼓出了"第三條道路";可惜的是，沒(méi)有一種方法能同時(shí)做到既不需要將手機(jī)固件Root，又完全不涉及對(duì)原始應(yīng)用程序進(jìn)行反向工程的方法。

Root

Root指獲得Android所在的Linux系統(tǒng)的Root(根)權(quán)限，有了根權(quán)限，你才能對(duì)Linux做出任意的修改。iOS中的越獄 (Jailbreak) 相當(dāng)于獲得iOS系統(tǒng)的Root權(quán)限(iOS是一種類Unix系統(tǒng)，和Linux都使用Root的概念)。在已Root的設(shè)備中，通常都是使用一個(gè) 叫"Superuser"(簡(jiǎn)稱SU)的應(yīng)用程序來(lái)向許可的程序授以Root權(quán)限。

Bootloader的解鎖(Unlock)

利用數(shù)字簽名，Bootloader可以限定只有正確簽名的系統(tǒng)可以被引導(dǎo)。在修改固件以獲得Root以前，解鎖Bootloader通常是必須的。安裝第三方修改、編譯的固件也需要解鎖Bootloader。

基帶(Radio)解鎖

在Android系統(tǒng)中，基帶是上層軟件與手機(jī)中無(wú)線設(shè)備(手機(jī)網(wǎng)絡(luò)，Wi-Fi，藍(lán)牙等)的驅(qū)動(dòng)程序之間的中介。國(guó)外的網(wǎng)絡(luò)運(yùn)營(yíng)商很喜歡鎖定基帶，從 而保證用戶只能使用運(yùn)營(yíng)商自己指定的sim卡。在我國(guó)，鎖定基帶是非法的，手機(jī)制造商、網(wǎng)絡(luò)運(yùn)營(yíng)商也不可以通過(guò)鎖定基帶的方法對(duì)待違約客戶。iOS的"解 鎖"就是解鎖iOS中的基帶軟件。

為什么要控制Android權(quán)限

魚(yú)和熊掌不可兼得，Android的世界有很多自由，壞人也能自由地做壞事。它的生態(tài)系統(tǒng)很強(qiáng)調(diào)自主：用戶可以自主地減小風(fēng)險(xiǎn)，僅使用官方市場(chǎng)的應(yīng)用程序，也可以自主地解除安全限制，從而獲得更多自由。因此，在遇到壞事的時(shí)候，用戶也不得不自主一下：

1， 抵制不道德，乃至非法行為

幾乎所有的Android安全軟件都能對(duì)來(lái)電、信息進(jìn)行控制，以減少騷擾。

另一方面，很多應(yīng)用都會(huì)要求它們實(shí)際功能以外的權(quán)限，表現(xiàn)在非(主動(dòng))告知地搜集設(shè)備序列號(hào)，位置信息，誘使用戶默認(rèn)地上傳聯(lián)系人列表等方面。

更壞一點(diǎn)的應(yīng)用程序，則會(huì)踏入犯罪的范疇，比如能偷偷發(fā)出扣費(fèi)信息，或是作為黑客的偷窺工具。

2， 減少惡意軟件的損害

惡意軟件即便潛伏成功，也難以獲得權(quán)限，從而減少損失。

3， 用戶有權(quán)自主地在抑制應(yīng)用程序的部分權(quán)限時(shí)，繼續(xù)使用該應(yīng)用程序，而只承擔(dān)由于自行設(shè)置不當(dāng)而帶來(lái)的后果。

用戶擁有設(shè)備的所有權(quán)，因此有權(quán)自主控制設(shè)備上的內(nèi)容、傳感器等對(duì)象的訪問(wèn);同時(shí)有權(quán)(不)運(yùn)行，(不)編譯設(shè)備上的應(yīng)用程序。

大多數(shù)應(yīng)用程序在運(yùn)行時(shí)，并未達(dá)成主動(dòng)告知的義務(wù)，是失誤;然而即使主動(dòng)告知，用戶還是可以不理會(huì)。

為什么Android官方市場(chǎng)的強(qiáng)制提醒權(quán)限的行為不屬于主動(dòng)告知：

通過(guò)Android官方市場(chǎng)，"打包安裝器"安裝應(yīng)用程序時(shí)，所顯示的"權(quán)限"僅是在安裝包內(nèi)AndroidManifest.xml聲明的值，而非應(yīng) 用程序?qū)嶋H上會(huì)調(diào)用的內(nèi)容。該值僅用來(lái)表明Android系統(tǒng)能向應(yīng)用授予的最大可能的權(quán)限。即便一個(gè)"Hello World"式的應(yīng)用程序，也可以在AndroidManifest.xml中聲明所有可能的Android Permission。

這就是說(shuō)，在AndroidManifest.xml中聲明的值與應(yīng)用程序?qū)嶋H調(diào)用的權(quán)限有關(guān)聯(lián)，但不等同，且這種提示是由Android系統(tǒng)負(fù)責(zé)實(shí)施的強(qiáng)制行為。

正確的理解是："應(yīng)用程序(被迫地)讓Android系統(tǒng)告知用戶，它在AndroidManifest.xml中所聲明的事項(xiàng)。"

這意味著應(yīng)用程序在使用重要權(quán)限前，依然需要自行、主動(dòng)地通知用戶相關(guān)事宜。

3 權(quán)限控制的方法

這里開(kāi)始介紹各種控制Android權(quán)限的辦法。可惜的是，幾乎所有的手段都需要對(duì)設(shè)備進(jìn)行Root，如果不這么做，則需要付出不小代價(jià)。

App Shield(國(guó)內(nèi)常見(jiàn)的名字:權(quán)限修改器)

它是一個(gè)需要付費(fèi)的Android應(yīng)用，其原理是修改應(yīng)用程序的apk安裝包，刪除其中AndroidManifest.xml文件內(nèi)，用于聲明權(quán)限的 對(duì)應(yīng)"Android.Permission.*"條目，然后再用一個(gè)公開(kāi)的證書(shū)對(duì)安裝包重新簽名(需要允許"未知源")，這樣一來(lái)，應(yīng)用程序就不會(huì)向系 統(tǒng)申請(qǐng)?jiān)人璧臋?quán)限。當(dāng)應(yīng)用運(yùn)行至相應(yīng)的流程時(shí)，系統(tǒng)將直接拒絕，從而達(dá)到用戶控制權(quán)限的目的。

對(duì)于已安裝的應(yīng)用，AppShield也會(huì)按照同樣方法制作好apk安裝包，然后讓用戶先卸載原始的應(yīng)用，再安裝調(diào)整過(guò)的應(yīng)用。除了該應(yīng)用數(shù)字簽名外，用戶可以隨時(shí)通過(guò)執(zhí)行同樣的流程，將吊銷的權(quán)限恢復(fù)。

Cyanogenmod是一款著名的第三方編寫(xiě)的開(kāi)源Android ROM。

CM7.1加入了控制權(quán)限的開(kāi)關(guān)，官方的名稱是"Permission Revoking"，任何非系統(tǒng)/保護(hù)應(yīng)用在安裝后，可直接吊銷任意一項(xiàng)權(quán)限，其效果等價(jià)于直接刪除apk包中AndroidManifest.xml的 對(duì)應(yīng)條目，但不會(huì)引發(fā)自校驗(yàn)的問(wèn)題。CM的權(quán)限工具的作用等同于AppShield，無(wú)非是在Android自身的權(quán)限系統(tǒng)中添加了一個(gè)開(kāi)關(guān)。

優(yōu)點(diǎn)：

免費(fèi)，使用簡(jiǎn)便，可隨時(shí)，任意地吊銷、恢復(fù)非預(yù)裝應(yīng)用的任意一項(xiàng)權(quán)限;不存在數(shù)字簽名的問(wèn)題，因而不影響使用自校驗(yàn)的應(yīng)用程序。

問(wèn)題：

此功能僅在Cyanogen Mod 7.1及以上版本提供，無(wú)法用于其它rom。因?yàn)槭怯葾ndroid系統(tǒng)出面吊銷權(quán)限，其實(shí)現(xiàn)原理與App Shield完全相同，同樣的，應(yīng)用程序會(huì)因?yàn)樵O(shè)計(jì)不良而出現(xiàn)崩潰。

Permission Denied

這是可以吊銷任意Android應(yīng)用(注意，不當(dāng)?shù)氐蹁N系統(tǒng)應(yīng)用的權(quán)限可能會(huì)導(dǎo)致手機(jī)固件損壞，無(wú)法啟動(dòng))的任意權(quán)限，對(duì)權(quán)限的修改在重啟后生效。

實(shí)現(xiàn)原理應(yīng)該與Cyanogen Mod 7.1+完全相同，適用于任何已經(jīng)Root的系統(tǒng)，因?yàn)橐话愕腁ndroid系統(tǒng)雖然事實(shí)上支持權(quán)限吊銷，但沒(méi)有像Cyanogen Mod那樣放置接口，因此需要重啟后才能應(yīng)用權(quán)限配置。同樣也有系統(tǒng)出面拒絕權(quán)限而導(dǎo)致的崩潰現(xiàn)象。

優(yōu)點(diǎn)：

效果與Cyanogen Mod中的權(quán)限吊銷效果一致，且可吊銷系統(tǒng)應(yīng)用的權(quán)限。同時(shí)提供了免費(fèi)與收費(fèi)版本，免費(fèi)版并沒(méi)有基本功能的缺失。適用于所有版本號(hào)不低于1.6的Android設(shè)備。

問(wèn)題：

調(diào)整后的權(quán)限需要重啟才能生效。設(shè)計(jì)不良的應(yīng)用會(huì)崩潰。不恰當(dāng)?shù)臋?quán)限修改會(huì)損壞系統(tǒng)，導(dǎo)致無(wú)法開(kāi)機(jī)。

PDroid

PDroid實(shí)際上是一個(gè)Android內(nèi)核補(bǔ)丁加上一個(gè)用于管理的外部應(yīng)用。補(bǔ)丁需要在Recover環(huán)境中刷入系統(tǒng)，也可以由開(kāi)發(fā)者自行移植入系 統(tǒng)。該軟件在Android ASOP 2.3.4代碼基礎(chǔ)上開(kāi)發(fā)，僅適用于沒(méi)有改動(dòng)內(nèi)核的Android 2.3系統(tǒng)，目前還未支持Android 4。

為了避免Cyanogen Mod 7.1+權(quán)限吊銷(Permission revoking)導(dǎo)致的崩潰問(wèn)題，以及后臺(tái)服務(wù)(如LBE，QQ手機(jī)管家等，PDroid的作者認(rèn)為通過(guò)后臺(tái)服務(wù)攔截權(quán)限并不是好辦法)，PDroid 并不阻止應(yīng)用程序聲明權(quán)限，但會(huì)在其實(shí)際索取相關(guān)信息時(shí)，予以阻止。通俗地說(shuō)，就是簽署協(xié)議但不執(zhí)行。在PDroid的用戶界面，用戶能隨時(shí)精確地控制涉 及隱私的各項(xiàng)權(quán)限。對(duì)于某些內(nèi)容，除了阻止外，用戶還可以偽造一個(gè)隨機(jī)或指定的數(shù)據(jù)。

PDroid的內(nèi)核補(bǔ)丁并不通用，每一個(gè)Rom都需要特定的補(bǔ)丁。開(kāi)發(fā)者除了提供了幾個(gè)特定機(jī)型下Cyanogen Mod，HTC Sense修改版ROM的專用補(bǔ)丁外，還推出了一個(gè)補(bǔ)丁生成工具(PDroid Patcher)，用戶可以給自己的ROM生成專用的內(nèi)核補(bǔ)丁。使用該P(yáng)atcher需要安裝JDK(java Development Kit)。

優(yōu)點(diǎn)：

PDroid避免了通過(guò)Android系統(tǒng)進(jìn)行權(quán)限吊銷的導(dǎo)致的潛在崩潰問(wèn)題，也不需要后臺(tái)服務(wù)。對(duì)隱私信息的控制是最精細(xì)的。盡管設(shè)備必須Root，但應(yīng)用本身不需要Root權(quán)限。

問(wèn)題：

安裝過(guò)程是最繁瑣，最不可靠的，容易導(dǎo)致ROM損壞，適用范圍也小，需要用戶有相當(dāng)?shù)募寄?能安裝JDK，會(huì)刷機(jī))才可使用;只提供對(duì)隱私有關(guān)權(quán)限的控制，不提供網(wǎng)絡(luò)訪問(wèn)，的控制。以這些為代價(jià)，它幾乎沒(méi)有其它缺點(diǎn)。

LBE安全大師

實(shí)際上最常用的是以LBE為代表的通過(guò)一個(gè)Root權(quán)限的后臺(tái)服務(wù)來(lái)攔截相關(guān)行為的工具。除了LBE外，還有QQ手機(jī)管家等應(yīng)用。這里以LBE安全大師為例介紹。

優(yōu)點(diǎn)：

使用非常簡(jiǎn)單，功能強(qiáng)大而全面，風(fēng)險(xiǎn)很小，可以控制系統(tǒng)應(yīng)用。適用范圍廣，有很多替代產(chǎn)品。

問(wèn)題：

需要后臺(tái)服務(wù) (盡管蠶豆網(wǎng)有個(gè)評(píng)測(cè)，認(rèn)為它對(duì)能耗幾乎沒(méi)有影響)，不能控制所有的Android權(quán)限。

4 自啟動(dòng)的控制

Android對(duì)后臺(tái)服務(wù)有著最好的支持。

在Android中可以自由地開(kāi)發(fā)一種稱為'Service'的后臺(tái)運(yùn)行的對(duì)象，加上沒(méi)有蘋(píng)果公司對(duì)應(yīng)用程序的嚴(yán)格限制。諸如QQ掛機(jī)，即時(shí)調(diào)用第三方應(yīng)用程序之類的形式都可以輕易實(shí)現(xiàn)。

為了全面支持后臺(tái)服務(wù)，也為了適應(yīng)移動(dòng)設(shè)備資源緊張，不得不經(jīng)常清理內(nèi)存的問(wèn)題，應(yīng)用可在系統(tǒng)中設(shè)置觸發(fā)器，當(dāng)系統(tǒng)發(fā)生了某個(gè)特定特定事件時(shí)(系統(tǒng)啟動(dòng)，撥打電話，收發(fā)信息，安裝、卸載應(yīng)用，插上電源等，或應(yīng)用程序自行定義的事件)，就會(huì)觸發(fā)啟動(dòng)應(yīng)用程序。

AutoStarts 自啟動(dòng)管理

AutoStarts是一個(gè)收費(fèi)應(yīng)用，通過(guò)它，用戶能了解系統(tǒng)中每一項(xiàng)程序會(huì)在什么場(chǎng)合下被觸發(fā)運(yùn)行。如果提供Root權(quán)限，則還能禁止這樣的行為。

這里以Google Maps應(yīng)用6.2版為例。默認(rèn)情況下，這款應(yīng)用總是會(huì)保持后臺(tái)運(yùn)行，并每小時(shí)向Google發(fā)送一次當(dāng)前用戶的位置信息。為了阻止這樣的行為，需要聯(lián)合 使用AutoStarts與任意一款進(jìn)程管理應(yīng)用：在AutoStarts中，阻止Google Maps的自行啟動(dòng)(如圖)，在每次使用完后，把Google Maps的進(jìn)程殺掉。

5 其他

Root帶來(lái)的風(fēng)險(xiǎn)

有一個(gè)鉆牛角尖的說(shuō)法認(rèn)為，一旦對(duì)設(shè)備進(jìn)行了Root，便無(wú)安全一說(shuō)，只要惡意程序一旦偷偷獲得Root級(jí)別，一切都是空談。

這種說(shuō)法之所以鉆牛角尖，是因?yàn)椋阂环矫鍭ndroid中的Root權(quán)限通常都是需要用戶通過(guò)Superuser應(yīng)用進(jìn)行授權(quán)的，這已經(jīng)夠用，雖然不能 指望Superuser無(wú)懈可擊;另一方面，控制Android權(quán)限主要是為了讓?xiě)?yīng)用程序在"灰色地帶"的行為收斂一些，它們實(shí)際顯然不是病毒等犯罪軟件。