谷歌刚刚对Android上应用程序权限的工作方式进行了巨大的改变。设备上已有的应用现在可以通过自动更新获得危险的权限。未来的应用程序也可以在不询问您的情况下获得危险的权限。

这一切都要归功于最新的Play Store更新和简化的应用程序权限界面。这里的核心理念-让普通用户能够理解Android应用程序权限-是好的。实施是个大问题。

应用程序现在可以在不询问您的情况下添加权限

Google Play现在将应用程序权限分组为相关权限组。例如，想要阅读您的传入短信的应用程序将需要“阅读短信”权限。当您通过Play Store安装它时，您将看到它询问“SMS”权限组。

安装该应用程序后，您将授予它访问所有短信相关权限的权限。该应用程序现在可以自动更新，并获得发送短信的能力，而不需要询问你。

您的设备上是否有您信任但不能发送短信的应用程序？这些应用程序现在可以在没有提示的情况下发送短信-所有开发人员需要做的就是更新应用程序。

防止这种情况发生的唯一方法是禁用自动更新，并在每次应用程序想要更新时手动验证应用程序权限-就好像这是一个合理的解决方案一样！如果这样做，最终还会使用过时版本的应用程序，这是另一个安全问题。

权限组包含安全权限和危险权限

最大的问题是，组既可以包含普通的基本权限，也可以包含更危险的权限。例如：

位置：一款询问你大致的、基于网络的位置的应用程序现在可以获得许可，用你设备的GPS追踪你的确切位置。 短信：一款只需要接收短信的应用程序现在可以获得在后台发送短信的权限，这可能会让你花钱。 电话：一款要求读取你的通话记录的应用程序现在可以获得许可，无需询问你就可以重新路由呼出的电话并拨打电话。 照片/媒体/文件：需要读取USB存储或SD卡内容的应用程序现在可以格式化整个外部存储设备。 摄像头/麦克风：拥有拍照和视频权限的应用(例如摄像头应用)现在可以获得录制音频的权限。当你使用其他应用程序或当你的设备屏幕关闭时，该应用程序可以监听你的声音。

当应用程序需要新的权限组时，系统会要求您确认。如果您已授予访问某个组中的单个权限的权限，则所有赌注均已取消，应用程序可以获取该组中的所有权限。

大量的Android应用程序已经要求了比它们需要的更多的权限，而现在这些应用程序被授予了更多它们不需要的权限！

每个应用程序都可以访问互联网

谷歌还为每款应用程序提供了互联网访问权限，有效地取消了互联网访问权限。哦，当然，Android开发者在组装应用程序时仍然必须声明他们想要互联网接入。但用户在安装应用程序时不再能看到互联网访问权限，当前不能访问互联网的应用程序现在可以通过自动更新获得互联网访问权限，而不会提示您。

当然，现在大多数应用程序都需要互联网接入，但并不是所有的都需要。您可能希望使用活动墙纸、手电筒或键盘应用程序，但不允许其访问互联网。事实上，苹果iOS 8中第三方键盘的安全功能之一是，除非你特别允许，否则这些键盘不能访问互联网。Android上的所有键盘现在都可以上网了。

不管怎样，Android应用的权限都被破坏了

安卓的应用许可系统已经崩溃了。这与其说是一种许可制度，不如说是一种需求制度。一款应用程序要求它需要特定的功能，你可以接受，也可以不接受。你不能选择是否要授予某个应用某些权限，而不授予其他权限。Android实际上有一个正在开发的内置权限管理器，但谷歌将其删除。现在，只有扎根设备并使用Xposed Framework重新获得App Ops功能或安装定制ROM(如CyangenMod)的用户才能管理应用程序权限。典型的Android用户无能为力。

Android的大部分应用许可系统已经变得毫无意义。为什么要费心拥有一个细粒度的权限系统，开发者必须申请访问互联网和“阅读短信”之类的个人权限呢？谷歌不妨完全重做Android应用程序的权限，让应用程序请求访问权限组。至少他们不会给我们一种虚假的安全感！

相关：安卓的权限系统崩溃了，谷歌只会让情况变得更糟

一直以来，苹果的iOS都有一个功能许可系统，让用户进行控制。

不，这不是苹果粉丝对Android的攻击。我喜欢安卓，用Nexus4作为智能手机，但我相信给用户提供动力。Android用户应该可以选择哪些应用程序可以发送短信，或者相机应用程序是否可以录制音频。现在，我们不仅不能在没有根目录或安装自定义ROM的情况下控制权限，而且新的权限系统给予我们的权力甚至更小。

感谢Reddit上的iamtubeman探索并测试了这个重要问题。谷歌对Android新简化的应用程序权限的解释可以在这里找到。