@foxy @rf в большинстве случаев только если сами приложения этого захотят.До 6.0 было всё более-менее ясно, у приложения был фиксированный список разрешений и он показывался при установке, соответственно установка подтверждала выдачу этого списка. Начиная с 6.0 сделали механизм динамических разрешений, притом максимально убогий. И разрешения вроде интернета решили выдавать автоматически, даже не предупреждая пользователя. Я даже не знаю, если убрать разрешение на интернет из манифеста с таргетом выше 23, android уберёт его или нет.
Как же это изнутри устроено: часть разрешений android.permission (в том числе и интернет) привязаны к фиксированным gid (для интернета это 3003 и 3004). В ядре есть патч android paranoid network, который юзерам без этих gid запрещает создавать определённые типы сокетов. Почему именно так, а не через netfilter? Потому что когда этот механизм создавался, android ещё пытался быть легковесным и не зависеть от сложных механизмов ядра вроде netfilter