PG移动端安全实验室:安装前权限审查
安装前权限审查的原则是先说明核心功能,再判断每项权限是否必要、何时触发、能否拒绝以及拒绝后的影响。一个移动娱乐项目若在首次打开前就要求短信、通讯录、设备管理、无障碍服务或持续位置,必须有与可见用途相称的具体解释;没有解释就不继续。MDN关于内容安全策略的资料说明网页可通过限制脚本、图片等资源来源降低部分注入与加载风险,来源1 但CSP属于网页防护,不能替代Android或iOS权限审查。NCPG资料则支持个人感到困扰时优先退出并寻求适用帮助的边界。来源2
本页完成实质复核:2026-07-13

为什么需要核对安装前权限审查
权限决定软件或网页能够接触哪些设备能力与数据。相机可扫描二维码,也可能拍摄环境;麦克风可用于语音,也可能采集背景声音;通知读取、短信、通讯录和无障碍服务的影响更广。审查不是看到权限就断言恶意,而是要求用途、触发时机和数据范围能够解释。权限与功能之间没有清晰联系时,风险来自不必要的访问面,而不是名称听起来是否常见。
安装前审查还能发现流程设计问题。合理应用通常在相关功能首次使用时说明原因,让读者选择;一上来把多项高影响权限捆绑成“继续所必需”,会让人无法判断哪项真正需要。系统权限说明也可能过于宽泛,因此应结合应用内提示、公开隐私说明和实际功能。拒绝非核心权限后仍可浏览基本资料,是较可控的设计;拒绝后用倒计时或全屏遮挡施压,则应停止。
网页与原生应用要分开。浏览器按站点管理相机、位置、通知和下载,原生软件按应用管理系统权限;网页壳可能同时涉及两层。CSP能限制页面允许加载的资源,并用于纵深防御XSS或点击劫持,却不会告诉读者相机权限为何必要,也不证明页面加载来源全部可信。来源3 所以看到CSP响应头不能跳过域名、站点权限和应用权限三项核对。
权限审查应发生在首次运行的每一个触发点,而不是只看安装页面。以一台Android十四手机为例,应用启动时先请求通知,点击上传头像后再请求照片,进入帮助页却突然要求精确位置。前两项尚可分别询问用途与拒绝后的表现,位置请求则与当前动作缺乏可见联系,应暂停并记录触发路径。还要查看特殊访问页面,因为无障碍、通知读取、悬浮窗、设备管理和安装未知应用不一定出现在普通权限列表。审查时先拒绝非核心项,在不输入私人资料的测试环境观察功能是否仍可用。若拒绝后应用以倒计时、恐吓文案或跳转设置强迫开启,这种交互本身就是风险信号。
来源等级与取证边界
权限证据按接近设备事实的程度排列:系统设置中的实际授权状态最直接;安装清单或商店权限说明反映申报;责任主体的功能与隐私说明解释用途;第三方教程和评论只提供线索。申报权限不一定在所有版本触发,系统当前未授权也不代表应用从未请求。应同时记录软件版本、系统版本和观察日期,避免把不同时间的状态混为一谈。
技术资料也各有边界。MDN CSP文档适用于浏览器如何执行网站给出的资源限制,它能解释script-src、img-src等指令的作用,但不能评价移动软件签名、系统沙盒或后台行为。NCPG页面介绍美国问题赌博支持网络、保密与转介等事项,适合说明个人退出与支持选择,不是权限标准,也不适用于所有国家。引用来源必须承担它确实覆盖的命题。
截图只保存一刻的系统界面,不能证明之后没有再次请求;权限清单也可能因系统版本而合并或拆分。更可靠的记录包括请求出现前的操作、提示原文、允许或拒绝的选择、选择后的功能变化,以及设置页的最终状态。不要为了取证授予本来不愿给出的权限,完全可以把“未授予,因此后续行为未测试”写入限制。
权限决策表可以为每项请求设置“触发动作、所需数据、授权范围、替代方案、撤销位置”。拍摄凭证若只需一张图片,可比较系统相机调用与持续相机权限;选择头像可优先使用系统照片选择器,而非开放整个媒体库;粗略地区若已足够,就不应默认精确位置;通知可以在用户主动订阅后再请求。短信、通讯录、通话记录和设备管理属于高影响项,需要非常具体的功能解释与公开政策对应。表中还要记录“仅本次”“使用期间”和“始终允许”的差异。若页面说明只谈改善体验,却没有说明数据流向、保存期限和拒绝后果,就不能据此授予更宽范围。
| 证据 | 能说明 | 不能说明 |
|---|---|---|
| 系统权限面板 | 当前版本在本设备的授权状态 | 过去是否访问、服务器如何处理数据 |
| 安装清单 | 应用申报的能力范围 | 每项何时实际使用 |
| 功能说明 | 发布者声称的用途 | 声明是否被实现严格遵守 |
| CSP响应 | 网页声明的资源加载限制 | 原生权限或页面主体真实性 |
| 第三方教程 | 可能出现的操作线索 | 当前版本与来源归属 |

桌面端与移动端核验步骤
桌面端适合先阅读公开说明和静态文件信息。把每项功能写在左侧,把可能需要的设备能力写在右侧,找出没有对应功能的高影响权限。对于网页,可查看响应是否声明CSP及资源来自哪些域,但这只是网页层观察;若页面继续分发移动文件,还要另查软件包清单与签名。所有地址均从完整注册域核对,不依赖页面自称的安全徽章。
移动端从干净状态开始。记录安装前系统提示,首次启动时一次只触发一个功能,并在请求出现时判断说明是否具体。相机用于扫码时,应在打开扫码入口后请求,而不是在启动画面请求;位置若只影响地区化内容,应说明精确或大致位置的差异;通知应能晚些决定。对短信、通话、通讯录、设备管理、无障碍和覆盖其他应用等权限,提高审查门槛。
拒绝测试是重要步骤。在不授予非必要权限的情况下,观察应用是否仍能提供其核心公开信息,是否反复弹窗或引导去系统设置扩大权限。之后进入系统面板,确认未意外开启后台活动、未知安装来源、VPN或证书。对于H5,还需在浏览器的站点设置中检查权限,因为系统可能把相机显示为浏览器使用,而具体授权实际绑定到某个域名。
记录数据流限制而非猜测。仅凭相机权限不能断言图像会上传;需要网络观察、隐私说明或其他证据才能讨论传输。同样,某次未见网络请求也不能证明永不发送。写成“在所列操作与时间段内观察到或未观察到什么”,并列出未覆盖的后台、更新和服务器处理,能避免把有限测试包装成全面审计。
当应用在拒绝权限后闪退,诊断不能直接得出必须授权。先重启并复现触发步骤,记录系统版本、应用构建和拒绝的是哪一档范围;再测试不进入相关功能时能否保持稳定。若只有上传照片失败,影响应限定在该功能;若首页就因拒绝联系人而退出,说明实现与宣称用途之间存在需要解释的耦合。清除数据会重置授权流程,应在保存记录后才使用。若应用引导安装辅助服务、关闭权限监控或通过浏览器另开登录页,应把每个组件单独审查。排障过程中不使用真实联系人、短信或相册,以免为了确认故障而先产生不可逆的数据暴露。
无法确认时如何安全退出
如果权限用途不明,在系统对话框选择拒绝并关闭页面或应用,不要通过“仅这一次”去满足未知请求。删除尚未执行的文件,撤销浏览器站点权限和应用权限;若已开启无障碍、设备管理、VPN、证书或未知安装来源,先逐项关闭再卸载。清理后重新检查设置,确认没有遗留管理项。必要记录只保留时间、权限名称和来源,不包含私人内容。
若误授予相机、麦克风、位置或文件访问,撤权可以阻止后续常规访问,却不能撤回已经传出的数据。此时应查阅责任主体的隐私说明和适用地区的数据权利信息,但不要向未经核验的联系方式提交更多个人资料。设备出现异常时,使用系统自带检查或可信专业支持;本页无法依据一个权限截图判断所有后果。
当相关内容使人难以停止或造成困扰时,技术清理之外还应建立个人退出边界。NCPG资料明确其服务属于美国网络,并介绍保密、家属可咨询和语言支持等信息;其他地区应寻找当地适用资源。不要为了完成权限实验继续接触令自己不适的内容,也不要把成功卸载误认为个人风险已经自动消失。
还要审查权限组合,而不是逐个看起来都有理由就全部放行。例如相机用于扫码、位置用于地区展示、通知用于提醒,各自可能有解释;但如果应用同时拥有通知读取、悬浮窗和无障碍控制,它就可能观察其他应用并覆盖界面,整体影响远高于单项描述。应在矩阵中增加“与其他授权联动”一列,记录组合后可触达的数据和撤销顺序。测试撤销时先处理高影响特殊访问,再处理普通权限,避免应用继续通过辅助服务引导重新开启。若权限说明分散在多个页面,用同一版本和日期汇总,但不要把不同主体的隐私政策拼在一起。更新后即使没有新增普通权限,特殊访问入口或浏览器站点授权也可能变化。最终审查结论应回答最小组合是什么、哪些请求可延后、哪些组合触发退出,而不是给每个权限分别标绿后忽略整体能力。

本页修订与引用记录
本页于2026年7月12日查阅MDN的CSP指南与NCPG帮助资料。CSP来源仅支撑网页资源限制与纵深防御的解释;NCPG来源仅支撑美国范围的支持与退出信息。两者都没有审查PG电子游戏应用、权限清单或分发文件,也没有对任何具体来源作安全评价。
未来修订应按平台版本记录权限名称变化,尤其是照片选择器、通知、附近设备、精确位置与后台限制等系统差异。若某个权限从必需改为可选,要写清对应软件版本与一手说明;若只有第三方观察,标为待复核。任何新增结论必须指出证据来自系统面板、清单、公开说明还是有限运行观察。
权限证据清单包括请求弹窗全文、触发前一步、系统权限页、特殊访问页、隐私说明版本、拒绝后的实际影响与撤销结果。截图要遮住个人照片和账号,不仅裁掉状态栏。常见问题是“系统商店已审核,是否无需逐项检查”;商店分发不替代用户对当前版本和自身用途的判断。另一个问题是“某权限大家都允许,能否视为必要”;普遍性不是功能关联证据。复核结论应精确到权限与场景,例如照片选择在主动上传时可解释,而不是给整个应用一个笼统安全标签。版本更新后若新增请求,应作为新事件记录,不能沿用旧版同意,因为数据范围和触发路径已经改变。
最终还要确认撤销真正生效:强制停止后重开应用,重复原触发动作,并检查权限历史是否继续出现访问。若浏览器或系统组件代为完成选择,应注明访问归属,不能只看目标应用列表。复测应使用新的空白样本,避免缓存让功能看似在无权限时仍读取了旧资料。
权限组合的总体触达范围优先于逐项看似合理的说明。
- 权限名称、触发动作、提示原文和最终状态成组记录。
- 拒绝后的功能表现单独测试,不接受捆绑施压。
- 网页CSP、站点权限与原生系统权限分层判断。
- 撤权后复查无障碍、设备管理、VPN、证书和未知安装来源。
权限没有在首次启动出现,是否就不用审查?
仍要审查。应用可能在进入特定功能、后台任务或更新后请求权限,部分能力也通过特殊访问页面开启。查看软件包申报、逐项触发功能和系统最终状态,并记录版本与日期。一次无弹窗只支持当时路径未触发请求。
浏览器显示相机由Chrome使用,怎样知道是哪一个站点请求?
系统面板可能只显示浏览器进程,应进一步查看浏览器的站点设置、最近使用记录和当前标签域名。撤销时按具体站点清理,不必永久关闭浏览器所有能力。若域名经过跳转,记录触发请求时的最终注册域,避免把权限归给起始页面。
只允许大致位置,是否一定足够保护隐私?
它通常比精确位置暴露更少,但仍可揭示区域,并可能与网络地址、设备信息等组合。先问核心功能为何需要位置、能否完全拒绝以及数据保存多久。若只是展示公开资料却强制要求位置,降低精度不能解决用途不相称的问题。
拒绝一项权限后应用仍能运行,能否认定该权限多余?
可以记录它不是本次已测核心路径的必要条件,但不能断言所有场景都多余。检查是否有明确的可选功能会用到它、应用是否反复请求,以及拒绝后是否暗中改变行为。结论应限定版本、设备与测试任务,不推及未来更新。
撤销权限后,之前读取的数据会自动删除吗?
不会得到这样的保证。撤权通常限制后续常规访问,已经复制、缓存或传输的数据可能仍存在。应查责任主体的隐私说明和适用地区权利信息,但不要向未经核验的联系入口提供更多资料。技术测试无法仅凭设置面板确认服务器端删除。
应用没有普通权限弹窗,却要求开启无障碍或设备管理,该怎样判断?
无障碍与设备管理属于影响很广的特殊访问,常在普通权限列表之外。先查看核心功能为何需要读取界面、执行动作或管理设备,是否有更小范围替代,以及拒绝后能否继续。仅用“提升兼容”或“保障运行”解释不够。不要为了观察后续画面而先开启;记录请求入口与系统能力,退出后检查服务、管理项、覆盖权限、通知读取和VPN是否全部关闭。
权限审查的价值在于把“可能需要”变成可说明、可拒绝、可撤销的具体访问。CSP能帮助理解网页资源约束,支持资料能帮助读者在不适时退出,但它们都不为某个移动文件的权限设计背书。只要高影响权限与核心功能之间没有清楚、可验证的联系,就应拒绝并结束流程。撤权之后还要检查特殊访问和浏览器站点设置,并把“未授予所以未测试”如实列入限制;不以完成全部功能为目标,才能避免为了取证而扩大原本不愿承担的风险。版本更新若再次请求权限,应按新版本重新审查,不能沿用过去的同意。