该论文系统性地研究了Android权限系统中两个被忽视的过时机制，这些机制持续破坏用户知情同意：（1）权限组（permission groups）机制：用户首次授权某个权限后，后续同一组内的新权限会被静默自动授予，用户无感知；（2）普通级自定义权限（normal-level custom permissions）：安装时自动授予，且允许跨应用访问，用户完全不可见。作者对AndroZoo仓库中的1930万APK（涵盖597万个独立应用标识符）进行了纵向分析，并在Android 16设备上进行了验证。在224万多个多版本应用中，381026个（17%）在已授权组内静默获得了新增权限。通过VirusTotal检测（主阈值为20），被标记为恶意软件的应用在组内扩展权限的比例高于良性应用（优势比=1.35，p<0.001）；该关联在所有测试阈值下均成立，且集中在权限密集型应用中（上四分位数优势比=2.06）。此外，还识别出307个跨开发者的普通级自定义权限对，这些配对允许无关应用访问联系人、短信、位置、认证凭据、用户身份和医疗记录，而无需任何用户提示。基于公开Android API的轻量级原型在96天单设备试点中，记录了13个应用的23次静默扩展事件，表明不修改操作系统即可实现更新时的透明度。研究表明，尽管Android平台已加固十年，但同意侵蚀问题依然存在，影响范围从冷门工具到广泛部署的预装软件。