应用常见的高危权限及使用场景,继已经发布的位置权限、短信权限、存储权限合理/不合理使用场景外,本期将为大家介绍悬浮窗、监听通知栏合理及不合理使用场景。
《绿标5.0-安全标准》骚扰行为:悬浮窗、通知栏权限要求
一、悬浮窗权限
Android.permission.SYSTEM_ALERT_WINDOW
悬浮窗权限:全局弹出对话框,APP进入后台后,该弹框仍覆盖在其他应用上显示。在开启悬浮窗之前,需获取用户授权。
合理使用场景:
- 影音类:视频类APP观看直播或视频时,切换至后台时小窗体播放视频信息;
- 音乐类:APP开启歌词显示后,切换至后台时在桌面上显示歌词;
- 社交通讯类:视频/语音电话聊天场景中,应用切换至后台,小窗口悬浮显示视频/语音信息;
- 商务办公类:会议场景中,共享屏幕时页面悬浮显示;
- 教育学习、电台听书类:切换至后台后音频悬浮播放;
- 实用工具类:远程协助类APP在其他应用上悬浮提示。
不合理使用场景
测试中发现,部分应用错误的使用悬浮窗权限来实现弹出消息框、对话框、或新页面等功能,常见场景如下:
1. 运动健康、影音娱乐类:展示广告调用悬浮窗权限;
2. 便捷生活、购物笔记、金融理财、游戏类:当用户想切换到后台时,应用调用该权限提示用户“再按一次退出程序/游戏”;
3. 理财类:使用银行转账等功能时弹窗提醒及转账回报消息;
4. 办公软件、学习、便捷生活类:APP进行推送消息弹框、软件更新等系统弹窗;
5. 运动健康问诊、棋牌桌游类:未实名认证的账号提醒认证弹窗。
二、监听通知栏
android.permission.BIND_NOTIFICATION_LISTENER_SERVICE
监听通知服务:通过系统调起的服务,监听其他应用的通知栏显示内容,使用之前需要获取用户授权。
合理使用场景:
便捷生活、运动健康类:手表手环穿戴应用,将通知栏信息引导至穿戴设备。
不合理使用场景:
监听通知栏是高危权限,滥用此权限可能导致用户隐私泄露,因此除上述合理场景外都应禁用该权限,常见的不合理使用场景如下:
- 儿童类:手表向家长手机发送聊天或状态消息通知时,使用通知栏权限检测PUSH通路是否正常;
- 教育、健身类:通过监听通知栏信息,设置拦截消息,禁止通知栏弹出消息;
- 实用工具类:如WiFi、手机管家等具有清理、管理能力的APP,调用该权限清理通知栏中消息。
