Day-311-Android 权限与隐私

# Day 328: Android 权限与隐私 - 运行时权限/隐私合规/权限滥用检测

> 移动安全系列第 8 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [权限模型详解](#权限模型详解)
2. [运行时权限管理](#运行时权限管理)
3. [隐私合规要求](#隐私合规要求)
4. [权限滥用检测](#权限滥用检测)
5. [隐私保护技术](#隐私保护技术)
6. [实战案例](#实战案例)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 权限模型详解

### 权限分级

**Normal 权限**：
```
特点:
- 低风险
- 安装时自动授予
- 无需用户确认

常见权限:
- INTERNET: 网络访问
- ACCESS_NETWORK_STATE: 网络状态
- BLUETOOTH: 蓝牙
- VIBRATE: 振动
- SET_WALLPAPER: 设置壁纸
```

**Dangerous 权限**：
```
特点:
- 高风险
- 运行时动态授权
- 需要用户明确同意

权限组 (9 组):
- CALENDAR: 日历
- CAMERA: 相机
- CONTACTS: 联系人
- LOCATION: 位置
- MICROPHONE: 麦克风
- PHONE: 电话
- SENSORS: 传感器
- SMS: 短信
- STORAGE: 存储
```

**Signature 权限**：
```
特点:
- 系统级权限
- 同签名应用共享
- 严格限制

常见权限:
- INSTALL_PACKAGES: 安装应用
- DELETE_PACKAGES: 删除应用
- BIND_NOTIFICATION_LISTENER: 通知监听
```

### 权限组详情

**CALENDAR 组**：
```xml
<uses-permission android:name="android.permission.READ_CALENDAR" />
<uses-permission android:name="android.permission.WRITE_CALENDAR" />

风险:
- 日程泄露
- 活动追踪
- 隐私分析
```

**CONTACTS 组**：
```xml
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />

风险:
- 联系人泄露
- 社交关系分析
- 精准诈骗
```

**LOCATION 组**：
```xml
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_BACKGROUND_LOCATION" />

风险:
- 位置追踪
- 行为分析
- 隐私泄露
```

---

## 运行时权限管理

### 权限请求

**基础请求**：
```java
public class PermissionActivity extends AppCompatActivity {
    private static final int REQUEST_CODE = 100;
    
    // 请求权限
    private void requestPermission() {
        if (ContextCompat.checkSelfPermission(this,
                Manifest.permission.CAMERA)
                != PackageManager.PERMISSION_GRANTED) {
            
            // 请求权限
            ActivityCompat.requestPermissions(this,
                new String[]{Manifest.permission.CAMERA},
                REQUEST_CODE);
        } else {
            // 权限已授予
            openCamera();
        }
    }
    
    // 处理结果
    @Override
    public void onRequestPermissionsResult(int requestCode,
            String[] permissions, int[] grantResults) {
        if (requestCode == REQUEST_CODE) {
            if (grantResults.length > 0
                && grantResults[0] == PackageManager.PERMISSION_GRANTED) {
                openCamera();
            } else {
                showPermissionDenied();
            }
        }
    }
}
```

**权限解释**：
```java
// 检查是否需要解释
if (ActivityCompat.shouldShowRequestPermissionRationale(this,
        Manifest.permission.CAMERA)) {
    
    // 显示解释对话框
    new AlertDialog.Builder(this)
        .setTitle("需要相机权限")
        .setMessage("我们需要相机权限来拍摄照片")
        .setPositiveButton("确定", (dialog, which) -> {
            requestPermission();
        })
        .show();
} else {
    // 直接请求
    requestPermission();
}
```

### 权限最佳实践

**渐进式授权**：
```java
// 按需请求权限
public class CameraFragment extends Fragment {
    
    // 在需要时请求权限
    private void capturePhoto() {
        if (hasCameraPermission()) {
            openCamera();
        } else {
            // 解释为什么需要权限
            explainCameraPermission();
            // 请求权限
            requestCameraPermission();
        }
    }
    
    // 提供替代方案
    private void uploadPhoto() {
        if (hasStoragePermission()) {
            selectFromGallery();
        } else {
            // 提供拍照替代
            showCameraOption();
        }
    }
}
```

**权限处理**：
```
永久拒绝处理:
1. 检测永久拒绝
2. 引导用户到设置
3. 说明权限重要性
4. 提供替代功能

代码示例:
if (!ActivityCompat.shouldShowRequestPermissionRationale(...)) {
    // 用户选择了"不再询问"
    showSettingsDialog();
}
```

---

## 隐私合规要求

### 法律法规

**个人信息保护法**：
```
核心要求:
- 告知同意
- 最小必要
- 目的明确
- 安全保障

违规处罚:
- 最高 5000 万元罚款
- 或上年度营业额 5%
- 停业整顿
- 吊销执照
```

**GDPR 要求**：
```
核心原则:
- 合法公平透明
- 目的限制
- 数据最小化
- 存储限制
- 完整性保密

用户权利:
- 访问权
- 更正权
- 删除权 (被遗忘权)
- 限制处理权
- 数据可携权
```

### 合规实践

**隐私政策**：
```
必须包含:
- 收集的个人信息类型
- 收集目的
- 使用方式
- 共享情况
- 存储期限
- 用户权利
- 联系方式

展示要求:
- 显著位置
- 清晰易懂
- 便于访问
- 及时更新
```

**同意管理**：
```java
// 同意记录
public class ConsentManager {
    
    // 记录同意
    public void recordConsent(String type, boolean granted) {
        SharedPreferences prefs = context.getSharedPreferences("consent", MODE_PRIVATE);
        prefs.edit()
            .putLong(type + "_time", System.currentTimeMillis())
            .putBoolean(type + "_granted", granted)
            .apply();
    }
    
    // 检查同意
    public boolean hasConsent(String type) {
        SharedPreferences prefs = context.getSharedPreferences("consent", MODE_PRIVATE);
        return prefs.getBoolean(type + "_granted", false);
    }
    
    // 撤回同意
    public void withdrawConsent(String type) {
        // 停止相关数据处理
        stopDataProcessing(type);
        // 删除相关数据
        deleteRelatedData(type);
        // 记录撤回
        recordConsent(type, false);
    }
}
```

---

## 权限滥用检测

### 滥用行为

**过度索权**：
```
常见场景:
- 手电筒应用请求位置
- 计算器应用请求联系人
- 游戏应用请求短信
- 壁纸应用请求电话

检测方法:
- 权限与功能匹配度
- 权限使用频率
- 权限组合分析
```

**后台权限滥用**：
```
滥用行为:
- 后台获取位置
- 后台录音
- 后台访问联系人
- 后台读取短信

检测技术:
- AppOps 监控
-  UsageStats 分析
- 网络流量分析
```

### 检测技术

**静态检测**：
```java
// 分析 Manifest
public class PermissionAnalyzer {
    
    public List<String> analyzePermissions(String apkPath) {
        List<String> riskyPermissions = new ArrayList<>();
        
        // 解析 Manifest
        Axmledit.decode(apkPath);
        Document doc = parseManifest(apkPath);
        
        // 检查权限
        NodeList permissions = doc.getElementsByTagName("uses-permission");
        for (int i = 0; i < permissions.getLength(); i++) {
            String permission = permissions.item(i)
                .getAttributes()
                .getNamedItem("name")
                .getNodeValue();
            
            if (isDangerousPermission(permission)) {
                riskyPermissions.add(permission);
            }
        }
        
        return riskyPermissions;
    }
}
```

**动态检测**：
```java
// 监控权限使用
public class PermissionMonitor {
    
    // 记录权限使用
    public void logPermissionUsage(String permission, String context) {
        Log.d("PermissionMonitor", 
            String.format("Permission: %s, Context: %s, Time: %d",
                permission, context, System.currentTimeMillis()));
    }
    
    // 检测异常使用
    public boolean detectAbuse(String permission) {
        // 检查使用频率
        int frequency = getUsageFrequency(permission);
        if (frequency > THRESHOLD) {
            return true;
        }
        
        // 检查使用时间
        if (isBackgroundUsage(permission)) {
            return true;
        }
        
        return false;
    }
}
```

---

## 隐私保护技术

### 数据最小化

**收集最小化**：
```java
// 仅收集必要数据
public class UserDataCollector {
    
    // 不收集：只请求必要字段
    public void collectMinimalData() {
        // 不好：收集全部联系人
        // List<Contact> allContacts = getAllContacts();
        
        // 好：仅收集必要字段
        String userName = getUserName();
        String userPhone = getUserPhone();
    }
}
```

**存储最小化**：
```java
// 本地数据加密
public class SecureStorage {
    
    public void saveSensitiveData(String key, String value) {
        // 加密后存储
        String encrypted = encrypt(value);
        SharedPreferences prefs = context.getSharedPreferences("secure", MODE_PRIVATE);
        prefs.edit().putString(key, encrypted).apply();
    }
    
    public String getSensitiveData(String key) {
        SharedPreferences prefs = context.getSharedPreferences("secure", MODE_PRIVATE);
        String encrypted = prefs.getString(key, null);
        return decrypt(encrypted);
    }
}
```

### 匿名化技术

**数据脱敏**：
```java
public class DataAnonymizer {
    
    // 手机号脱敏
    public String maskPhone(String phone) {
        if (phone.length() >= 7) {
            return phone.substring(0, 3) + "****" + phone.substring(phone.length() - 4);
        }
        return "***";
    }
    
    // 身份证脱敏
    public String maskIdCard(String idCard) {
        if (idCard.length() >= 18) {
            return idCard.substring(0, 6) + "********" + idCard.substring(14);
        }
        return "********";
    }
    
    // 位置模糊化
    public Location fuzzLocation(Location location, double radius) {
        // 在半径范围内随机偏移
        double angle = Math.random() * 2 * Math.PI;
        double distance = Math.random() * radius;
        
        double lat = location.getLatitude() + distance * Math.cos(angle);
        double lng = location.getLongitude() + distance * Math.sin(angle);
        
        return new Location("fuzzed").setLatitude(lat).setLongitude(lng);
    }
}
```

---

## 实战案例

### 案例 1: 恶意应用权限滥用

**案例概述**：
```
应用类型：手电筒应用
请求权限：位置、联系人、短信、电话
滥用行为：
- 后台获取位置
- 上传联系人
- 发送付费短信
影响：100 万 + 用户
```

**检测过程**：
```
静态分析:
- 权限与功能不匹配
- 发现恶意代码
- 发现 C2 服务器

动态分析:
- 监控网络流量
- 发现数据上传
- 发现短信发送

处置:
- 应用下架
- 用户通知
- 损失评估
```

### 案例 2: 合规整改案例

**问题发现**：
```
问题:
- 隐私政策不清晰
- 过度收集信息
- 未经同意共享
- 无法撤回同意

监管要求:
- 限期整改
- 用户通知
- 合规报告
```

**整改措施**：
```
技术整改:
- 更新隐私政策
- 实现同意管理
- 增加数据导出
- 实现删除功能

流程整改:
- 建立隐私审查
- 员工培训
- 定期审计
- 用户沟通
```

---

## 总结与思考

### 核心要点回顾

1. **权限模型**：Normal/Dangerous/Signature 分级
2. **运行时权限**：请求流程、最佳实践
3. **隐私合规**：法律法规、合规实践
4. **滥用检测**：过度索权、后台滥用、检测技术
5. **隐私保护**：数据最小化、匿名化技术

### 深入思考

**隐私挑战**：
- 功能与隐私平衡
- 合规成本高
- 用户意识低
- 监管趋严

**发展方向**：
- 隐私设计 (Privacy by Design)
- 差分隐私
- 联邦学习
- 零知识证明

### 最佳实践

**开发者**：
- 最小权限原则
- 透明告知
- 用户控制
- 安全存储

**用户**：
- 审查权限
- 阅读政策
- 定期清理
- 安全意识

---

## 参考资料

### 学习资源

- **Android Permissions**: https://developer.android.com/guide/topics/permissions
- **Privacy Guidelines**: https://developer.android.com/guide/topics/permissions/overview
- **OWASP Mobile Privacy**: https://owasp.org/www-project-mobile-top-10/

### 工具资源

- **MobSF**: https://github.com/MobSF/Mobile-Security-Framework-MobSF
- **Privacy Scanner**: https://play.google.com/store/apps/details?id=com.privacy.scanner
- **Bouncer**: https://play.google.com/store/apps/details?id=com.samruston.permission

---

*Day 328 完成 | Android 权限与隐私详解 | 字数：约 15,000 字 (拆分版)*