- Как проверить APK-файл на подозрительные разрешения — пошаговое руководство для обычного пользователя
- Почему именно манифест?
- Как посмотреть разрешения без установки
- Способ 1: ADB — для тех, кто не боится немного командной строки
- Способ 2: Онлайн-анализ — для тех, кто хочет просто и быстро
- Что считать подозрительным — таблица разрешений и их смысл
- Частые ошибки — что делают люди, и почему это плохо
- Что делать — сценарии выбора
- Сценарий 1: Это приложение из Google Play, но ты хочешь старую версию
- Сценарий 2: Это модифицированная версия игры (например, с неограниченными монетами)
- Сценарий 3: Это приложение от небольшой компании, которого нет в Google Play
- Сценарий 4: Ты не уверен — и не хочешь рисковать
- Как лучше делать — практические рекомендации
- Итог: что делать прямо сейчас
Как проверить APK-файл на подозрительные разрешения — пошаговое руководство для обычного пользователя
Ты скачал APK-файл с сайта, который не из Google Play. Может, это старая версия приложения, может, модифицированная версия игры — всё равно ты хочешь понять: безопасно ли его устанавливать? Не станет ли оно шпионом в кармане?
Ты не один. Миллионы людей так делают. И большинство просто ставит — и надеется. Но есть простой способ проверить, что в этом файле не спрятано ничего опасного. И это не про «взлом» или «хакерство». Это про базовую гигиену: как ты проверяешь, не испортилась ли еда в холодильнике. Только здесь — не запах, а разрешения.
Разрешения в Android — это права, которые приложение просит у тебя при установке. Например: «доступ к камере», «чтение SMS», «отправка звонков». Некоторые — нормальные. Другие — красные флаги. Ты не обязан знать, что значит каждое разрешение. Но ты должен уметь видеть, когда их слишком много — или когда они не имеют смысла.
Почему именно манифест?
Внутри каждого APK-файла есть файл AndroidManifest.xml. Это как паспорт приложения. Там чётко прописано: что оно хочет делать, какие компоненты использовать, какие разрешения требует. Это не скрытая информация — она открыта. И если приложение хочет читать твои SMS, но не имеет ни единой функции, связанной с сообщениями — это тревожный звонок.
Ты не должен уметь читать код. Ты должен уметь смотреть на список разрешений — и задавать себе один вопрос: «Зачем это здесь?»
Как посмотреть разрешения без установки
Ты не можешь просто открыть APK-файл в проводнике — он архив. Но есть два простых способа, которые не требуют программирования и стоят ноль рублей.
- Используй ADB (Android Debug Bridge) — если ты на ПК с Windows, macOS или Linux. Это инструмент от Google, который используется разработчиками, но его можно запустить и обычному пользователю.
- Используй онлайн-сервисы — если ты не хочешь устанавливать ничего на компьютер.
Давай разберём оба варианта.
Способ 1: ADB — для тех, кто не боится немного командной строки
Скачай платформенные инструменты Android (Platform Tools). Распакуй архив в папку, например, C:\platform-tools.
Открой командную строку (в Windows — введи cmd в поиске, нажми Enter). Перейди в папку с инструментами:
cd C:\platform-tools
Теперь выполни команду:
aapt dump permissions имя_файла.apk
Замени имя_файла.apk на путь к твоему файлу. Например:
aapt dump permissions C:\Downloads\com.example.game.apk
Ты увидишь список разрешений. Пример:
package: com.example.game
uses-permission: android.permission.INTERNET
uses-permission: android.permission.ACCESS_NETWORK_STATE
uses-permission: android.permission.READ_PHONE_STATE
uses-permission: android.permission.WRITE_EXTERNAL_STORAGE
uses-permission: android.permission.RECEIVE_BOOT_COMPLETED
uses-permission: android.permission.WAKE_LOCK
uses-permission: android.permission.VIBRATE
uses-permission: android.permission.FOREGROUND_SERVICE
uses-permission: android.permission.READ_SMS
uses-permission: android.permission.SEND_SMS
Теперь ты видишь всё. И если в списке есть READ_SMS или SEND_SMS — и приложение не является мессенджером, SMS-бэкапом или банком — это тревожно.
Способ 2: Онлайн-анализ — для тех, кто хочет просто и быстро
Если ты не хочешь возиться с командной строкой — есть сайты, которые делают это за тебя. Самый надёжный — APKPure (он не только качает, но и показывает манифест), или VirusTotal (он анализирует и на вирусы, и на разрешения).
Загрузи APK-файл на VirusTotal — подожди 1–3 минуты. В разделе «Permissions» ты увидишь полный список. Он будет выглядеть почти как в ADB, только в красивом виде.
Преимущество VirusTotal: он ещё проверит файл на известные вирусы, трояны, шпионское ПО. Это как два в одном — и разрешения, и вредоносность.
Что считать подозрительным — таблица разрешений и их смысл
Не все разрешения — враги. Но некоторые — почти всегда. Вот что смотреть:
| Разрешение | Что оно даёт | Когда нормально | Когда тревожно |
|---|---|---|---|
android.permission.INTERNET |
Доступ в интернет | Всем приложениям, кроме калькулятора | Никогда не тревожно — это база |
android.permission.READ_PHONE_STATE |
Чтение IMEI, номера телефона, статуса звонка | Приложения для звонков, банков, определения сети | Игра, фонарик, переводчик — зачем им твой IMEI? |
android.permission.READ_SMS |
Чтение всех SMS | Мессенджеры, бэкапы SMS | Всё остальное — особенно если нет функции «проверка кода из SMS» |
android.permission.SEND_SMS |
Отправка SMS от имени пользователя | Мессенджеры, приложения для рассылки | Любое приложение, где нет явной функции отправки сообщений |
android.permission.ACCESS_FINE_LOCATION |
Точный GPS-доступ | Карты, навигаторы, приложения для прогулок | Калькулятор, блокнот, приложение для чтения PDF |
android.permission.CAMERA |
Доступ к камере | Фото, видеозвонки, сканеры | Приложение для прослушивания музыки — зачем камера? |
android.permission.RECEIVE_BOOT_COMPLETED |
Запускаться при включении телефона | Мессенджеры, бэкапы, антивирусы | Игра, калькулятор, приложение для расписания |
android.permission.WAKE_LOCK |
Не давать телефону засыпать | Музыкальные плееры, ночные будильники | Приложение, которое ничего не воспроизводит и не работает в фоне |
android.permission.READ_CALL_LOG |
Чтение истории звонков | Приложения для анализа звонков, бэкапа | Всё остальное — особенно если нет функции «анализ звонков» |
android.permission.WRITE_EXTERNAL_STORAGE |
Запись в папки телефона (фото, документы) | Фото-редакторы, файловые менеджеры | Приложение, которое не работает с файлами — например, игра с 3D-графикой |
Обрати внимание: если приложение требует 5–7 разрешений — это нормально. Если 10–15 — это уже подозрительно. Если есть SEND_SMS + READ_SMS + READ_PHONE_STATE + ACCESS_FINE_LOCATION — это почти всегда шпионское ПО. Такие приложения не просто «собирают данные» — они могут перехватывать коды из SMS, отправлять платные сообщения, отслеживать твоё местоположение, даже если ты не пользуешься приложением.
Частые ошибки — что делают люди, и почему это плохо
- «Я просто поставил — вдруг работает». Это как сесть за руль, не проверив тормоза. APK — не игрушка. Одно неправильное разрешение — и ты теряешь контроль.
- «Все приложения запрашивают разрешения — это нормально». Нет. Google Play отсекает явно вредоносные. Но сторонние источники — дикий лес. Там нет фильтров.
- «Я не храню ничего важного на телефоне». Даже если у тебя нет банковских приложений — твой номер, IMEI, местоположение, контакты — это всё ценная информация для рекламных сетей и мошенников.
- «Я не понимаю, что значит это разрешение» — и не проверяю. Ты не обязан знать технические термины. Но ты должен уметь видеть: «Зачем калькулятору доступ к SMS?» — и отказаться.
- «Я проверяю только на вирусы». VirusTotal — хороший инструмент, но он не всегда ловит «тихие» приложения, которые не вирусы, а просто шпионы. Они не уничтожают данные — они их тихо крадут. Их не видно в антивирусе. Но ты видишь их в манифесте.
Что делать — сценарии выбора
Ты нашёл APK. Что дальше?
Сценарий 1: Это приложение из Google Play, но ты хочешь старую версию
Например, ты не любишь новый интерфейс Telegram, и хочешь поставить версию 8.1.3. Скачал APK с сайта, который тебе доверяешь.
Действие: Проверь разрешения. Если они такие же, как в Google Play — всё ок. Если появились новые — например, SEND_SMS — не ставь. Скорее всего, файл подменён.
Сценарий 2: Это модифицированная версия игры (например, с неограниченными монетами)
Ты хочешь установить «Candy Crush с бесконечными жизнями».
Действие: Проверь разрешения. Если есть READ_SMS, ACCESS_FINE_LOCATION, READ_PHONE_STATE — не ставь. Даже если игра работает. Это не «мод» — это троян. Он может красть твои логины, отправлять платные SMS, использовать твой телефон как бота.
Сценарий 3: Это приложение от небольшой компании, которого нет в Google Play
Например, ты скачал приложение от местного такси или магазина — оно есть только как APK.
Действие: Проверь разрешения. Если они разумные — например, INTERNET, ACCESS_NETWORK_STATE, ACCESS_FINE_LOCATION — это нормально. Если есть ещё READ_CALL_LOG или SEND_SMS — напиши им на почту: «Почему приложение запрашивает доступ к звонкам и SMS?». Если ответа нет — не устанавливай.
Сценарий 4: Ты не уверен — и не хочешь рисковать
Действие: Не устанавливай. Найди альтернативу в Google Play. Если её нет — подумай: действительно ли тебе это нужно? Иногда проще ждать, чем рисковать.
Как лучше делать — практические рекомендации
- Всегда проверяй APK перед установкой. Даже если ты доверяешь источнику. Файл мог быть перезалит, и ты этого не знаешь.
- Используй VirusTotal — это самый быстрый способ. Загрузил — ждёшь 2 минуты — смотришь разрешения и результаты антивирусов. Бесплатно, надёжно, без установки.
- Не устанавливай приложения с разрешениями, которые не имеют смысла. Если ты не понимаешь, зачем приложению доступ к камере — не ставь.
- Отказывайся от APK, если в разрешениях есть
SEND_SMS,READ_SMS,READ_PHONE_STATE— и приложение не является мессенджером, банком или звонилкой. - Проверяй на двух источниках. Например, сначала VirusTotal, потом — через ADB. Если результаты расходятся — это тревожный знак.
- Удаляй APK-файл после установки. Он не нужен. Если ты его сохранишь — он может стать вектором атаки, если его подменят.
Итог: что делать прямо сейчас
У тебя есть APK-файл. Ты не знаешь, безопасен ли он. Вот что делать:
- Загрузи файл на VirusTotal.
- Подожди 2–3 минуты.
- Открой вкладку «Permissions».
- Сравни список с таблицей выше.
- Если есть
SEND_SMS,READ_SMS,READ_PHONE_STATE— и приложение не связано с звонками или сообщениями — не устанавливай. - Если всё в порядке — установи. Но не забудь удалить APK-файл после этого.
Ты не должен быть экспертом по Android. Ты должен просто уметь видеть, когда что-то не так. Разрешения — это твой первый и самый простой щит. Пользуйся им. Это не сложнее, чем проверить, не протекает ли кран в ванной. Только твоя конфиденциальность стоит дороже, чем вода.
Информация в этой статье носит ознакомительный характер. При установке сторонних приложений всегда оценивай риски и, если есть сомнения — обращайся к специалисту по кибербезопасности.