Perché così tante applicazioni richiedono l'autorizzazione per leggere lo stato e l'identità del telefono?

Perché così tante applicazioni richiedono l'autorizzazione per leggere lo stato e l'identità del telefono ?. In particolare:

Phone calls
   read phone state and identity

Ad esempio Quickpedia è un portale di Wikipedia, ma vuole accedere al telefono. Qual è la spiegazione per questo?

Consente all'app di leggere un ID univoco (un identificatore telefonico chiamato IMEI ) associato al telefono.

Può quindi aiutare con la protezione dalla copia o il tentativo di tenere traccia del numero di utenti.

C'è un altro motivo per questo rispetto all'ID univoco. Immagino che metà delle app non acceda affatto a questi valori. Il problema è che per una versione precedente fino ad Android 1.5 questa autorizzazione non esiste. Tutti potevano accedere a questi valori senza richiedere qualcosa.

Pertanto, se si crea un'app compatibile con 1.5, questa autorizzazione verrà automaticamente aggiunta per emulare la sicurezza inferiore di Android 1.5 a causa di ciò è possibile ignorare questa autorizzazione nella maggior parte dei casi perché tende a essere solo un problema di compatibilità.

Il motivo è che Android 1.5 e versioni precedenti non richiedevano all'applicazione di richiedere specificamente tali autorizzazioni e di concederle automaticamente. Da Android 1.6, tali autorizzazioni devono essere specificamente richieste dall'app. Tuttavia, se si specifica che l'applicazione può essere eseguita su dispositivi con Android 1.5 e versioni precedenti, tale autorizzazione viene aggiunta all'applicazione per impostazione predefinita e il mercato mostra tale autorizzazione come richiesta dall'applicazione.

Quindi, in sintesi, l'applicazione potrebbe non accedere effettivamente allo "stato e identità del telefono", ma se lo sviluppatore specifica che la sua applicazione può essere eseguita su dispositivi con 1,5 o meno, verrà mostrata tale autorizzazione.

Questa domanda mi ha infastidito da un po 'di tempo. Quindi ora, finalmente, ho deciso di arrivare in fondo al problema.

Playstore ha un'app denominata permesso.READ_PHONE_STATE , che richiede READ_PHONE_STATEcome unica autorizzazione e non fa altro che stampare tutti i dati a cui può accedere con o senza utilizzarla. L'ho installato sul mio LG Optimus 4X , essendo rootato su Android 4.0.3 di serie e revocato l'autorizzazione usando LBE. I risultati sono stati piuttosto interessanti, come mostrano i seguenti screenshot:

^{Le informazioni raccolte dalle app permission.READ_PHONE_STATE (cliccare sulle immagini per le varianti più grandi)}

Come puoi facilmente vedere, anche alcune informazioni lo sviluppatore, sebbene inaccessibili senza l'autorizzazione, erano liberamente accessibili: il mio numero di casella vocale (nota: Sì, è quello corretto; con il mio provider è la scorciatoia quando compongo dal tuo dispositivo, quindi posso visualizzalo liberamente;) Alla fine del primo screenshot vedi:

• CALL_STATE_IDLE. Quindi nessuna telefonata in arrivo, in uscita o in corso. Nessuna app ha bisogno di questa autorizzazione per "inserirsi" nelle chiamate in arrivo.

È anche possibile vedere se i dati mobili sono attivi ( DATA_DISCONNECTED; ero su WiFi quando prendevo gli screenshot, come puoi vedere nella barra di notifica), in quale paese ti trovi, il tuo provider (inclusi alcuni dati tecnici su di lui), se hai una scheda SIM o se sei in roaming.

Le uniche cose non accessibili quindi sono l'identificazione dei dati: IMEI, SIMID, IMSI e il tuo numero di telefono.

Conclusione: questa autorizzazione è necessaria solo a scopo identificativo, nient'altro.

Perché così tante app ne hanno bisogno?

• Per i moduli pubblicitari, molto probabilmente ¹
• Perché lo sviluppatore ha pensato di averne bisogno (come sottolineato da alcune risposte qui) ²
• Perché l'app in questione è progettata per (anche) funzionare su Android 1.5 e versioni precedenti (facile da scoprire, come elencato su Google Play ).

Probabilità esattamente in questo ordine, IMHO.

¹ Nota del post di Dan sulla chat :

Le norme di Google Play ora vietano alle app di indurre l'IMEI a identificarti a fini pubblicitari. Tutte le librerie di annunci sono state aggiornate ora per utilizzare l '"ID pubblicità" fornito dai servizi Play di Google, quindi tutti quelli che utilizzano ancora l'IMEI per questo scopo devono essere segnalati a Google.

Poiché è difficile per l'utente dire a cosa sta utilizzando l'app IMEI, dovresti chiedere allo sviluppatore di spiegare prima.

² Un altro sviluppatore mi ha appena indicato una sottile differenza: mentre l'autorizzazione non è necessaria per leggere lo stato della chiamata corrente (come ho sottolineato), potrebbe essere necessario registrare un ascoltatore per essere informato sulle modifiche della chiamata stato (vedi: Rilevamento di chiamate in entrata e in uscita su Android ). Mentre sembrano esserci mezzi per gestirlo automaticamente quando il sistema chiama onPause, potrebbe non essere sempre adatto: pensa alla tua sveglia. Potresti non volerlo interrompere automaticamente durante una chiamata in arrivo, soprattutto quando il tuo profilo è impostato sul volume della suoneria "disattivato".

³ Ancora una correzione da Dan : otterrai l'autorizzazione extra predefinita solo se la versione "target" della tua app è 1.5. Se scegli come target una versione successiva ma la tua versione minima è 1.5, non ottieni l'autorizzazione aggiunta automaticamente.

aggiornamenti

1. Interessante che ci sia un problema aperto (21504) da dividere READ_PHONE_STATEin ciò che è necessario per a) rilevare chiamate in arrivo e relative (telefonia) e una seconda autorizzazione per i dettagli di identificazione (IMEI, IMSI, ecc.). Aperto l'11 / 2011, non ha ancora funzionato. Stella se interessati :)
2. E sì, c'è un modo per ottenere lo stesso (rilevare le chiamate in arrivo) senza l' READ_PHONE_STATEautorizzazione, come ad esempio sottolineato da Arno Welzel . Come una chiamata in arrivo innescherebbe la suoneria, che evento potrebbe essere utilizzato con onAudioFocusChange(), che non richiede alcun permesso speciale: se attivato, con questo, l'applicazione potrebbe verificare il CallState (ancora una volta, senza alcun permesso speciale richiesto) per vedere se c'è un chiamata in arrivo.

Molti editori di annunci utilizzano questa autorizzazione per ottenere l'ID telefono per tutti i tipi di scopi di tracciamento. Esistono altri modi per ottenere un ID univoco, ma sfortunatamente sono buggy nelle versioni precedenti di Android (la storia è più complicata, vedi ad esempio https://stackoverflow.com/questions/2785485/is-there-a-unique-android- device-id o http://android-developers.blogspot.com/2011/03/identifying-app-installations.html per una storia più completa).

Pertanto, se l'app utilizza annunci pubblicitari, ci sono buone possibilità che l'app stessa non abbia effettivamente bisogno dell'autorizzazione READ_PHONE_STATE, solo il provider di annunci.