На современных Android-смартфонах приложения по умолчанию живут в своих «песочницах» и не видят чужие данные. Чтобы получить доступ к чему-то чувствительному — камере, микрофону, геолокации, SMS, журналу звонков, файлам и так далее — им нужно явно попросить разрешение у системы, а система уже спрашивает вас. Это и есть модель разрешений Android.
Разрешения поделены на несколько категорий. Упрощённо их можно разбить так:
- «Обычные» — низкорисковые, которые Android выдаёт автоматически при установке (например, доступ к интернету).
- «Опасные» — доступ к данным и функциям, через которые вас можно отследить, подслушать, обворовать или хотя бы сильно потревожить (камера, микрофон, точная геолокация, SMS, журнал звонков, контакты, память устройства и т.д.). Для них обязательно всплывающее окно с запросом во время работы приложения.
- Особо чувствительные — вроде доступа к SMS и Call Log, «чтению всех файлов» (MANAGE_EXTERNAL_STORAGE) и некоторым служебным API. На них дополнительно сверху накладывает ограничения ещё и Google Play: только определённые категории приложений могут вообще заявить такие права.
Начиная с Android 6, большинство опасных разрешений выдаётся не при установке, а «на лету», когда приложению действительно нужно что-то сделать — включить геолокацию, сделать фото, записать голосовую заметку и т.п. То есть формально у вас есть шанс задуматься: а точно ли этому приложению нужен микрофон прямо сейчас?
В новых версиях Android защита становится всё агрессивнее. Например, разрешения автоматически отзывает система у давно неиспользуемых приложений, а Google Play Protect может отозвать права у подозрительных программ или вообще их отключить.
Плюс в Android 13 появилось отдельное разрешение на уведомления: теперь приложения обязаны спросить у вас, можно ли им вообще что-то показывать в шторке.
Какие разрешения и кому обычно нужны
Чтобы не паниковать при каждом всплывающем окне, полезно понимать типичные связки «категория приложения — набор разрешений». Если приложение просит ровно то, что логично вписывается в его функциональность — это нормально. Если же набор выглядит как «шведский стол» из всего подряд — повод насторожиться.
Разберём самые частые кейсы.
- Мессенджеры и звонки. Им обычно нужен доступ:
- к контактам — чтобы показывать, кто из ваших знакомых уже в сервисе;
- к микрофону и камере — голосовые сообщения, звонки, видеосвязь;
- к памяти/файлам или фото — для отправки и сохранения медиа;
- к уведомлениям — чтобы показывать новые сообщения.
При этом запрос на доступ к SMS или журналу звонков оправдан только для приложений, которые действительно работают как замена стандартному SMS-клиенту или звонилке. Google Play отдельно подчёркивает, что Call Log и SMS разрешения могут использовать только такие приложения или решения с официальными исключениями.
- Навигация и такси. Логично просить:
- точную геолокацию — иначе вообще нет смысла;
- интернет — карты и тарифы;
- иногда — телефон/звонки для связи с водителем или поддержкой.
Доступ к SMS, контактам или «чтению всех файлов» здесь выглядит уже подозрительно.
- Камера-сканеры, редакторы фото, социальные сети.
- камера и микрофон — запись контента;
- память/файлы или «фото и видео» — загрузка и сохранение снимков;
- интернет — публикация;
- уведомления — лайки, комментарии и прочий допамин.
Но доступ к SMS, журналу звонков или к вашей точной геолокации «всегда» для обычного фоторедактора — это уже из серии «а зачем?».
- Банковские и финтех-приложения.
- SMS — для автозаполнения одноразовых паролей и пушей от банка;
- телефон — иногда для подтверждения личности через звонок;
- камера — сканирование паспортов, карт, QR-кодов;
- геолокация — в отдельных сценариях против мошенников или для поиска банкоматов;
- уведомления — транзакции, подтверждения операций.
Для таких приложений высокий уровень доступа нормален, но их нужно ставить только из официальных источников и не раздавать им лишних прав из серии «доступ к файлам всего устройства» без понятной причины.
- Игры.
- интернет — онлайн-функции и реклама;
- уведомления — события, акции, ежедневные бонусы;
- иногда — доступ к памяти для сохранения больших ресурсов.
Если казуальная игра просит доступ к SMS, контактам, звонкам, геолокации и камере одновременно, она либо собирает на вас очень детальный профиль, либо делает что-то, о чём лучше не знать.
Хорошее правило: попробуйте объяснить любое разрешение одной простой фразой «чтобы сделать Х приложению нужен Y». Если объяснение не приходит в голову — есть повод копнуть глубже.
Когда приложение явно превышает свои полномочия
Набор разрешений сам по себе не доказывает, что приложение вредоносное, но часто даёт жирные намёки. Есть несколько типичных «красных флажков», на которые стоит обращать внимание.
Первый признак — слишком много чувствительных разрешений для простой задачи. Калькулятор, фонарик или простейший блокнот, который просит геолокацию, SMS, звонки, контакты и доступ к камере, обычно нужен не для вычислений, а для добычи данных.
Второй — разрешения, не связанные с объявленным функционалом. Например, «фонарик» просит доступ к отправке и чтению SMS: скорее всего, перед вами некогда популярный класс троянов, которые подписывали людей на платные номера. Именно поэтому Google сейчас жёстко ограничивает использование SMS/Call Log разрешений и удаляет подозрительные приложения из Google Play.
Третий — попытки получить доступ к тем правам, которые открывают широкий обзор на ваш телефон: доступ ко всем файлам (MANAGE_EXTERNAL_STORAGE), возможность «отображаться поверх других приложений» (draw over other apps), служба доступности (AccessibilityService). Через эти механизмы можно подменять содержимое экрана, перехватывать нажатия, подсовывать фальшивые формы оплаты и так далее.
Четвёртый — навязчивые повторные запросы. Если вы один раз отказали приложению в доступе к геолокации, а оно каждые десять секунд снова лезет с тем же диалогом, то это не только раздражает — это может быть признаком того, что разработчику доступ нужен любой ценой.
Пятый — странное поведение после выдачи разрешений: внезапные рекламные окна поверх всех приложений, перенаправления в браузер, неизвестные SMS, самопроизвольные звонки, лишние уведомления, быстрый разряд батареи. Всё это может говорить о работе скрытого вредоносного компонента, активно использующего полученные права.
Как по разрешениям распознать потенциально вредоносное приложение
Универсального чек-листа «если есть разрешение X — точно вирус» не существует, но есть рабочая методика, как быстро оценить риски по набору прав.
Шаг первый — смотрим, откуда приложение. Если оно из Google Play, у вас уже есть базовый фильтр: Google проводит автоматические и ручные проверки, а Play Protect постоянно сканирует приложения и может отозвать разрешения или отключить явный вредонос. Если же APK скачан неизвестно откуда, ответственность практически полностью на вас.
Шаг второй — открываем карту разрешений. На большинстве устройств путь примерно такой: «Настройки → Безопасность и конфиденциальность → Конфиденциальность → Диспетчер разрешений (Permission manager)». Там можно выбрать тип разрешения (камера, геолокация, микрофон и т.д.) и посмотреть, какие приложения его используют и в каком режиме.
Дальше включаем логику:
- Приложение, которое не должно работать с сообщениями, но имеет доступ к SMS — минус в карму.
- Игра или «ускоритель» телефона с доступом к журналу звонков и контактам — ещё один минус.
- Непонятный «VPN-ускоритель», требующий службы доступности и права на отображение поверх других приложений — серьёзный повод удалить его прямо сейчас.
- Редактор фото, у которого есть постоянный доступ к точной геолокации — вопрос «зачем?» остаётся открытым.
Отдельно смотрите на режимы «Разрешено всегда» или «Всегда разрешать в фоне» для геолокации и активности. Для карт или трекера тренировок это нормально, но для любого другого приложения — странно. Смело переключайте на «Разрешать только при использовании» или вообще запрещайте.
Как правильно ограничивать сомнительные приложения
Если приложение вызывает сомнения, но удалять его прямо сейчас неудобно (например, это единственный софт для вашей умной лампочки), его можно «обезопасить» с помощью настроек Android.
Во-первых, через тот же Permission manager зайдите в карточку приложения по каждому чувствительному разрешению и выставьте минимально возможный уровень доступа: «Только при использовании» вместо «Всегда», «Спросить каждый раз» вместо «Разрешено». Для камеры и микрофона — вообще удобно временно отключать доступ системной «рубильной» настройкой («Камера: выкл», «Микрофон: выкл»), чтобы никакое приложение ничего не слышало и не видело, пока вы не включите обратно.
Во-вторых, ограничьте возможность рисовать поверх других приложений и использовать службу доступности. В разделе настроек обычно есть пункт вроде «Специальный доступ» → «Показывать поверх других приложений» и «Службы специальных возможностей». Оставьте эти права только тем программам, которым действительно доверяете (читалки, экранные помощники для людей с ограниченными возможностями и т.п.).
В-третьих, включите и не выключайте Google Play Protect. Он сканирует установленные приложения (включая скачанные из сторонних источников), сравнивает их поведение и набор прав с базой угроз и может автоматически отозвать разрешения или отключить вредонос. Настройки обычно находятся в Google Play → Профиль → Play Protect.
В-четвёртых, периодически проводите ревизию старых программ. Android сам умеет отзывать разрешения у приложений, которыми вы давно не пользуетесь, но это не отменяет ручной проверки: иногда удобно просто удалить всё, что вы не запускали месяцами. Заодно освободите память и ускорите телефон.
Наконец, если вы заметили явные признаки заражения — странные звонки, SMS на неизвестные номера, всплывающую рекламу, недобровольные подписки — сразу отключайте подозрительные приложения, отзывайте у них все разрешения, запускайте полное сканирование Play Protect и, по возможности, антивируса. В крайних случаях — резервное копирование важных данных и сброс к заводским настройкам с последующей установкой только проверенных программ.
Итоги: относиться к разрешениям как к деньгам
Разрешения в Android — это валюта доверия. Каждое «Разрешить» — маленький кредит приложению на доступ к вашей личной жизни, местоположению, финансам и привычкам. Система старается подстраховать вас: делит права на уровни риска, спрашивает в момент использования, автоматически отзывает разрешения у старых приложений и блокирует особо наглых нарушителей через Play Protect.
Но окончательное решение всё равно за вами. Если запомнить несколько простых правил — сверять права с функционалом, следить за количеством «опасных» разрешений, ревизовать список приложений и не стесняться нажимать «Запретить» — то большинство проблем с вредоносным ПО вы даже не увидите. Оно просто не доберётся до нужных ему данных.
И в следующий раз, когда какой-нибудь «фото-фильтр» попросит доступ к вашим SMS и журналу звонков, можно спокойно сказать ему «нет» и поискать нормальную альтернативу в Google Play — их там, к счастью, ещё достаточно. Если хотите углубиться, официальный раздел про разрешения и конфиденциальность на сайте Android-разработчиков вполне читабелен и местами гораздо интереснее, чем длинные пользовательские соглашения: ссылка.
