論文の概要: Silent Consent, Persistent Risk: Android Permission Groups and Custom Permissions

• arxiv url: http://arxiv.org/abs/2605.27667v1
• Date: Tue, 26 May 2026 20:37:23 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-28 17:38:55.509594
• Title: Silent Consent, Persistent Risk: Android Permission Groups and Custom Permissions
• Title（参考訳）: 沈黙と永続的リスク: Androidの許可グループとカスタムの許可
• Authors: Olawale Amos Akanji, Manuel Egele, Gianluca Stringhini,
• Abstract要約: 我々は、597万のユニークなアプリにまたがる1930万のAPKの縦解析を行います。 我々は、連絡先、SMS、位置情報、認証証明書、ユーザID、医療記録を無関係のアプリに公開するクロス開発者正規化許可ペアをユーザプロンプトなしで特定する。 この結果から,10年にわたるプラットフォーム強化にもかかわらず,同意の侵食は継続し,不明瞭なユーティリティから広くインストールされているソフトウェアに至るまで,アプリに影響を及ぼすことが明らかとなった。
• 参考スコア（独自算出の注目度）: 15.033439629089402
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Android's permission system is designed to balance usability with informed consent, yet two legacy mechanisms still undermine that balance in Android 16: (i) permission groups that silently auto-grant new permissions within a group after a user's initial approval, and (ii) normal-level custom permissions that are auto-granted at install and enable cross-app access with no user visibility. We conduct a longitudinal analysis of 19.3 million APKs spanning 5.97 million unique apps (distinct package identifiers) from the AndroZoo repository, combined with on-device validation on Android 16. Among 2,244,575 multi-version apps, 381,026 (17%) silently gain permissions within already-granted groups. Using VirusTotal detections with primary threshold t=20, apps flagged as malware expand within groups at a higher rate than benign apps (odds ratio = 1.35, p < 0.001); the association holds across every tested threshold and concentrates in permission-heavy apps (OR = 2.06 in the top quartile). We also identify 307 cross-developer normal-custom-permission pairs that expose contacts, SMS, location, authentication credentials, user identity, and medical records to unrelated apps without any user prompt. A lightweight prototype built on public Android APIs recorded 23 silent expansion events across 13 apps during a 96-day single-device pilot, showing that update-time transparency is reachable without OS modification. Our results show that consent erosion persists despite a decade of platform hardening and affects apps ranging from obscure utilities to widely deployed and pre-installed software.
• Abstract（参考訳）: Androidのパーミッションシステムは、ユーザビリティとインフォームドコンセントのバランスをとるように設計されていますが、Android 16ではまだ2つのレガシメカニズムがバランスを損なっています。 一 利用者の初認可後、グループ内の新規許可を無言で発給する許可団体 (ii) インストール時に自動的にグラデーションされ、ユーザ可視性のないアプリケーション間アクセスを可能にする通常のレベルのカスタムパーミッション。 AndroZooレポジトリから597万のユニークなアプリ(識別パッケージ識別子)にまたがる1930万のAPKを、Android 16のオンデバイスバリデーションと合わせて、経時的に分析します。 2,244,575のマルチバージョンアプリのうち381,026 (17%)は、すでに公開されているグループの中で静かに許可を得ている。 プライマリしきい値t=20のVirusTotal検出を使用して、マルウェアとしてフラグ付けされたアプリは、良性アプリよりも高いレートでグループ内で拡大する(odds ratio = 1.35, p < 0.001)。 また、連絡先、SMS、位置情報、認証証明書、ユーザID、医療記録を無関係のアプリに公開する307のクロス開発者正規化許可ペアをユーザプロンプトなしで特定する。 公開Android API上に構築されたライトウェイトなプロトタイプは、96日間の単一デバイスパイロットの間に、13のアプリにわたる23のサイレント拡張イベントを記録し、OSの変更なしにアップデート時の透明性が到達可能であることを示した。 以上の結果から,不明瞭なユーティリティから,広くデプロイされ,プリインストールされたソフトウェアに至るまで,10年にわたるプラットフォーム強化にもかかわらず,同意の侵食は継続することが示された。

関連論文リスト

• PrivacyAssist: A User-Centric Agent Framework for Detecting Privacy Inconsistencies in Android Apps [0.9892966978799635]
  本稿では,ユーザ・グラウンテッド・パーミッションと開発者が宣言した機密データ収集と共有の慣行の矛盾を検出するマルチエージェントLDMベースのプラットフォームであるPrivacyAssistを提案する。 私たちは200人のユーザと2,347のAndroidアプリでPrivacyAssistを評価し、許可されたパーミッションと宣言されたデータプラクティスの間に完全に一貫性があるアプリは16%しかありません。
  論文  参考訳（メタデータ） (2026-04-25T10:58:05Z)
• Do Phone-Use Agents Respect Your Privacy? [97.81424230136075]
  我々は,モバイルエージェントのプライバシ行動を評価するための検証可能なフレームワークであるMyPhoneBenchを紹介する。 プライバシを無視する電話を、最小限のプライバシ契約によって許可されたアクセス、最小限の開示、およびユーザ制御メモリとして運用する。 10のモバイルアプリと300のタスクで5つのフロンティアモデルにまたがって、タスクの成功、プライバシに準拠したタスク補完、保存された好みの後での利用が、それぞれ異なる機能であることに気付きました。
  論文  参考訳（メタデータ） (2026-04-01T14:50:50Z)
• OpenApps: Simulating Environment Variations to Measure UI-Agent Reliability [49.99934595922838]
  自律的なUIエージェントの約束を実現する上では、信頼性が重要です。 6つのアプリを備えた軽量なオープンソースエコシステムであるOpenAppsを開発しています。 我々は、7つの主要なマルチモーダルエージェントの信頼性を研究するために、1万以上の独立した評価を実行する。
  論文  参考訳（メタデータ） (2025-11-25T19:00:22Z)
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy [1.4190701053683015]
  WhatsAppはいまだに大規模な列挙に対して非常に脆弱であることを示す。 私たちはブロックや有効レート制限に遭遇することなく、1時間に1億以上の電話番号を調査しました。 また、2021年のFacebookデータリークで公表された電話番号の半分近くが、WhatsAppでまだアクティブであることも示しています。
  論文  参考訳（メタデータ） (2025-11-25T12:27:05Z)
• Bamboo: LLM-Driven Discovery of API-Permission Mappings in the Android Framework [22.145558720584713]
  Androidの公式APIドキュメントは、慢性的に不正確さと不完全さに悩まされている。 パーミッション仕様の改善に対する最近の取り組みは、主に静的および動的コード解析を利用して、API-パーミッションマッピングを探索している。 本稿では,大規模言語モデル (LLM) を用いたAPI-パーミッションマッピングの体系的検討に先駆的なアプローチを提案する。
  論文  参考訳（メタデータ） (2025-10-05T07:50:44Z)
• A Comprehensive Analysis of Evolving Permission Usage in Android Apps: Trends, Threats, and Ecosystem Insights [9.172402449557264]
  適切なパーミッション使用に関する公式なAndroidプラットフォーム資料にもかかわらず、それでも多くのパーミッション悪用ケースがある。 本研究は,Androidのパーミッション・ランドスケープを包括的に分析する。 良心と悪意のあるアプリケーションを区別することで、開発者の進化戦略を明らかにします。
  論文  参考訳（メタデータ） (2025-08-04T02:54:10Z)
• On the (In)Security of Non-resettable Device Identifiers in Custom Android Systems [4.319029420721902]
  我々は、カスタムAndroid ROM上の脆弱性のあるプロパティと設定を識別するためのスケーラブルで正確なIDRadarを提案する。 非リセット可能な識別子を格納する8,192のシステムプロパティと3,620のセッティングを特定し,3,477のプロパティと1,336のセッティングに十分なアクセス制御が欠けている。 当社の大規模分析では,既存の技術よりも2桁も大きい,多数のセキュリティ問題を特定することが可能です。
  論文  参考訳（メタデータ） (2025-02-21T07:52:46Z)
• Analysis of Longitudinal Changes in Privacy Behavior of Android Applications [79.71330613821037]
  本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。 HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。 アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
  論文  参考訳（メタデータ） (2021-12-28T16:21:31Z)
• Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
  GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。 実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
  論文  参考訳（メタデータ） (2020-06-10T16:05:05Z)
• Decentralized Privacy-Preserving Proximity Tracing [50.27258414960402]
  DP3TはSARS-CoV-2の普及を遅らせるための技術基盤を提供する。 システムは、個人やコミュニティのプライバシーとセキュリティのリスクを最小限にすることを目的としている。
  論文  参考訳（メタデータ） (2020-05-25T12:32:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。