全てが直接渡される

　まず、なにより大事なのがこれです。
　メールアドレス、電話番号、居住地等、全て許可したらそのまま渡されます。当然、アプリのデータを削除してもそのまま向こうには残ります。
　特にメールアドレスについては日本語ではかなり紛らわしい表現になっているので、正直なんとかならないのかな？　といつも思います。

危険、あるいは微妙なアクセス許可がある

　
　基本といえば基本なのですが、Facebookのアクセス許可項目はかなり細かいので大変そうに見えます。しかしその中でも危険、または微妙なアクセス許可は以下の3つしかありません。

1. メール・電話番号へのアクセス
2. ウォールへの投稿
3. イベントの管理(Manage my events)

　直接渡されてしまうことから、意味もなくメールや電話番号、住所などへのアクセスを求めてくるようなアプリが危険なのはわかると思います。
　ではウォールへの投稿は？　というと、実は自分のウォールだけでなく自分の名前で友達のウォールへの投稿も出来てしまうのが最大の問題です。先ほど例に挙げたBadooがよい例で、大量に友達のウォールにスパム投稿とかされてしまう危険があるので、特にただ見ようと思ったらいきなり投稿許可を要求してくるようなアプリは気をつけたほうがいいです。
　イベントの管理は招待が出来てしまうのが問題で、これを許可してしまえば適当なイベントに参加させて招待させるようなことも可能なわけです。
　いいリンクがないのが残念ですが、10月ごろに流行ったハロウィンスパムという先例があります。まだ日本ではなじみが薄いですが、もう少しすれば集客をうたった情報商材あたりでけっこうでまわるんじゃないかと思っています。

許可が細かくても安心じゃない

　よくTwitterでOAuthアプリの問題点が指摘されるたびに許可範囲が粗すぎるという指摘が出てきます。もちろん、許可したら最後ダイレクトメッセージまで読めてしまう仕様というのは何とかして欲しいところですが、Facebookの例を見れば解るように許可が細かくても使う側が気をつけなれば意味はありませんし、紛らわしい表現があるのも事実です。
　また作る側としても細かければ許可範囲に悩むことも多いわけで、結局のところは銀の弾丸はなく、ユーザーが気をつけなければいけないのが実情です。
　ただし、よほど特殊な使い方をしていなければ注意すべき点はそれほど多くはありません*1。きちんと見分けて楽しいアプリ生活を送ってください。