Google Playのアクセス許可表示が変更されたことによりアクセス権限が不正に追加される恐れがあるとして、トレンドマイクロがその仕組みを説明している。
iOSやAndroidはアプリのパーミッション管理がPCのOSに比べ厳格であるため安全で、また、ユーザはアプリのパーミッションを確認する手段もあった。しかし、GoogleがAndroid のパーミッションモデルを変更したことで、不正アプリの開発者がアプリ更新の際に危険性のあるパーミッションを追加することが容易になった。これまではアプリ更新の際には新しいパーミッションが必要で、ユーザは新しいアプリのインストール同様パーミッションを確認してから許可を与える必要があった。しかし、変更によりアクセス権限グループが機能ごとに作成されており、必要とするパーミッションが、ユーザが既に別のアプリでアクセス権を与えたグループと同じ権限グループ内の機能である場合には許可が必要でなくなったため、アプリの自動更新が有効になっていると、ユーザがパーミッションの変更に気づかないうちに更新される。これにより、無害なパーミッションを持つアプリを最初に作成し、その後アップデートの際に不正な挙動に必要なパーミッションを後から簡単に追加できるようになる。例えば、フラッシュライトと録音・録画が同じパーミッショングループになっているため、フラッシュライトのアプリの更新の際に録音・録画などを行うアプリに更新されてストーカー行為などに悪用することも可能になる。その他にも、外部記憶装置のコンテンツの読み取りや変更、削除なども同じグループに属し、外部記憶装置のコンテンツ読取りのパーミッションを備えると、コンテンツの変更や削除機能を備えたアプリにアップグレードが可能になる。こうした、気づかないパーミッションを避けるためには自動更新を無効にして手動で更新することである。Google Playのアプリはユーザに更新通知を行うため、ユーザは新しいパーミッションを確認してから手動で更新することができる。面倒ではあるが、これが安全策だと思われる。
