منذ بضعة أيام، أنا كتب مقالا هنا مناقشة بعض التغييرات في التعامل مع أذونات متجر Google Play، وكيف يمكن أن تؤدي هذه التغييرات إلى مخاطر سلبية على خصوصية المستخدمين. تشير التعليقات على هذا المقال إلى قدر كبير من القلق لدى القراء بشأن هذا الأمر يتم استخدام الأذونات بواسطة التطبيقات، حيث يتطلع الكثيرون إلى استخدام App Ops أو XPrivacy للحماية أنفسهم.
اليوم، سأقوم بالالتفاف قليلاً وإلقاء نظرة على الأذونات التي يحتاجها تطبيقان شائعان: لوحة مفاتيح الطرف الأول من Google، وSwiftKey. كلاهما عبارة عن تطبيقات لوحة مفاتيح، وكلاهما متاح للتنزيل مجانًا على متجر Play (الأخير أصبح الآن "freemium" مع توفر سمات الدفع مقابل الدفع).
على الرغم من أن هذه التطبيقات تتمتع بإمكانية الوصول المباشر إلى كل مفتاح تضغط عليه، أو إدخال كل عنوان URL تزوره، أو رسالة نصية أو بريد إلكتروني إليك إرسال وكلمة المرور التي تكتبها، يبدو أن القليل من الأشخاص يفكرون فعليًا في الأذونات التي تستخدمها لوحة المفاتيح الخاصة بهم، والآثار المترتبة على ذلك هذا.
لوحة مفاتيح جوجل
دعونا نلقي نظرة على لوحة مفاتيح جوجل. لاحظ أنه كان عليّ تعديل الصورة أدناه، حيث تبذل واجهة الويب لمتجر Play قصارى جهدها لمنعك من رؤية القائمة الكاملة من الأذونات في عرض واحد، حتى مع وجود شاشة مقاس 20 بوصة في الاتجاه الرأسي، فإنها لا تزال تختار إخفاء معظمها ضمن هذا التمرير منظر. ولمتعة المشاهدة، قمت بتجميع القائمة معًا في عرض واحد.
دعونا نلقي نظرة على ما يحدث هنا. أولاً، تتمتع لوحة مفاتيح Google بإمكانية الوصول إلى بطاقة الاتصال الخاصة بك والحسابات الموجودة على جهازك. وهذا يعني أن لديه القدرة على معرفة هويتك، وجميع حسابات البريد الإلكتروني (وغيرها) المتوفرة على جهازك. وهذا يعني أنه من الممكن بالنسبة لهم معرفة حسابات Google/Dropbox/ Twitter/Microsoft Exchange/Facebook المتوفرة على هاتفك. ليس لدي أي فكرة على الإطلاق عن سبب الحاجة إلى ذلك، ولا عن سبب رغبة الناس في تقديم هذه المعلومات.
بعد ذلك، يمكن للتطبيق قراءة جهات الاتصال الخاصة بك. هذا عادل بما فيه الكفاية - من الواضح أن Google تريد إضافة أسماء جهات الاتصال الخاصة بك إلى قواعد بيانات المدقق الإملائي والإكمال التلقائي. هذا منطقي، وهو أمر مبرر بالنسبة للوحة المفاتيح. تعد القدرة على تعديل أو حذف محتويات وحدة تخزين USB أمرًا غريبًا إلى حد ما، ولكنها تسمح بالوصول لجميع بياناتك المخزنة على "بطاقة SD" الخاصة بك، للأسف لا توجد طريقة حقيقية للقيام بذلك بطريقة أكثر تفصيلاً طريق. من الناحية المثالية، ستستخدم Google فقط الملف الآمن /data/data التخزين، وبالتالي لن تحتاج إلى هذا. وبدلاً من ذلك، يمكنهم استخدام حاويات ASEC للحصول على مساحة تخزين أكبر على بطاقة SD الخاصة بك بشفافية، دون الحاجة إلى الوصول إلى ملفاتك الشخصية على بطاقة SD.
إن القدرة على تنزيل الملفات دون إشعار هي المكان الذي يبدأ فيه الأمر بشكل صحيح - لاحظ أن هذه الأذونات موجودة في أسفل القائمة، لذا يجب عليك التمرير للوصول إليها هم. إن سبب حاجة لوحة المفاتيح إلى القدرة ليس فقط على تنزيل الملفات، ولكن القيام بذلك دون إخبار المستخدم، أمر مثير للقلق بالتأكيد. ما مقدار البيانات التي تحتاج حقًا إلى تنزيلها دون إخبارك؟
القدرة على التشغيل عند بدء التشغيل جيدة. هذا شيء تتوقعه بشكل معقول من تطبيق لوحة المفاتيح. من ناحية أخرى، فإن الإذن المخفي مباشرة بعد الإذن الأقل ضررًا هو الأكثر تدخلاً: الوصول الكامل إلى الإنترنت.
نعم، هذا صحيح، تتمتع لوحة مفاتيح Google بإمكانية الوصول الكامل وغير المقيد إلى الإنترنت، بالإضافة إلى ضغطات المفاتيح وجهات الاتصال ومحتويات بطاقة SD والهوية. وتنتقل قائمة الأذونات الخاصة بنا على الفور إلى القول بأن لوحة مفاتيح Google يمكنها استخدام لوحة المفاتيح دون ضرر. هل يعتقد أي شخص أن هناك القليل من "إخفاء" الأذونات السيئة التي تحدث هنا؟
الإذنان التاليان غير ضارين، ويسمحان بالوصول إلى القاموس المخصص للمستخدم مرة أخرى، وهو أمر متوقع تمامًا من تطبيق لوحة المفاتيح. وأخيرًا، يتم طلب إذن لعرض اتصالات الشبكة. لا أستطيع مرة أخرى تقديم أي فكرة عن سبب الحاجة إلى ذلك، بخلاف تسهيل الأذونات الأخرى الموجودة للوصول إلى الإنترنت دون علمك.
باعتبارها لوحة مفاتيح، من المفارقات أن عروض Google تتمتع بالأذونات بشكل جيد. في الواقع، في هذه المرحلة، اعتقدت أنه سيكون من الصعب العثور على لوحة مفاتيح مع مراعاة أقل لخصوصية المستخدم في اختيارها للأذونات. لسوء الحظ، كنت مخطئا.
سويفتكي
SwiftKey، الذي أصبح تطبيقًا مجانيًا مؤخرًا، عبارة عن لوحة مفاتيح تابعة لجهة خارجية تحظى بشعبية كبيرة، وغالبًا ما يتم الإشادة بها لقدرة خوارزمية التنبؤ الخاصة بها على التنبؤ بالكلمة التالية التي ستستخدمها. ولكن هل يأتي ذلك بتكلفة في استخدامه للأذونات؟ مرة أخرى، قمت بتوسيع هذه القائمة، والتي تم تجميعها بواسطة واجهة الويب لمتجر Play في قائمة التمرير، حتى تتمكن من رؤية جميع الأذونات مرة واحدة.
في لمحة سريعة، يبدو أن تطبيق SwiftKey مشابه إلى حد ما في اختيار الأذونات الخاص به بلوحة مفاتيح Google. ترجع إضافة عمليات الشراء داخل التطبيق إلى إعادة إطلاقها مؤخرًا كتطبيق مجاني (بدلاً من تطبيق الدفع مقدمًا)، ولا تشكل مصدر قلق كبير للخصوصية.
الفرق الأول بيننا هو أن SwiftKey لديه إمكانية الوصول لقراءة الرسائل النصية القصيرة ورسائل الوسائط المتعددة. وهذا أمر منطقي، نظرًا لأن SwiftKey لديه ميزة تعلم أنماط اللغة من الرسائل. لسوء الحظ، نظرًا لأن SwiftKey هو تطبيق مغلق المصدر (مثل Google Keyboard)، فمن الصعب معرفة ذلك بالضبط ما يتم فعله بهذه البيانات - هناك حاجة بالتأكيد إلى المزيد من خيارات لوحة المفاتيح المفتوحة المصدر والجودة العالية على سوق!
هناك اختلاف آخر وهو أن SwiftKey يطالب بإذن "READ_PHONE_STATE" سيئ السمعة. يتيح ذلك الوصول إلى معرفات IMEI وIMSI وSIMID، بالإضافة إلى أرقام الهواتفوتفاصيل الطرف الآخر في أي مكالمات (بما في ذلك رقم هاتفه). في هذه المرحلة، لا يمكنني حقًا التفكير في أي شيء يمكن إضافته هنا حول سبب احتياج SwiftKey إلى هذه البيانات. بالتأكيد، تظهر جميع التطبيقات المتوافقة مع Android 1.5 على أنها تستخدم هذا الإذن، حيث لم يكن هناك إذن مخصص لهذا في ذلك الوقت. يعد Android 1.5 من بقايا عام 2009، لذلك ليس هناك أي عذر لوجوده اليوم. لا يسعني إلا أن أظن أن SwiftKey، بحكمتها اللامتناهية، قررت أنها ترغب في أن تكون قادرة على تتبع مستخدميها، وتحتاج إلى معرف جهاز فريد مثل IMEI للقيام بذلك. لسوء الحظ، بينما تحظر Google استخدام IMEI لتتبع الإعلانات (تريد استخدام معرف الإعلان القابل لإعادة تعيين المستخدم بدلاً من ذلك)، إلا أنها لا تملك حظر شامل على استخدام معرفات الأجهزة بشكل عام، والتي يمكن استخدامها لتتبع استخدامك بين التطبيقات، وتوفير وسيلة مستمرة لتحديد هويتك في مستقبل.
مرة أخرى، يتميز SwiftKey بإمكانية الوصول الكامل إلى الإنترنت، وهو إذن موجود في قسم "الآخر". هل أنا الوحيد الذي يشعر بالقلق إلى حد ما من أن SwiftKey لديه حق الوصول الكامل إلى الإنترنت، وكذلك الجميع البيانات الأخرى التي يصل إليها (مثل الرسائل النصية القصيرة وتفاصيل هويتك وحساباتك و IMEI)؟
خاتمة
يتضح الأمر من خلال نظرة سريعة فقط على أذونات اثنتين من لوحات المفاتيح المشهورة - إحداهما خاصة بشركة Google، والأخرى خاصة بـ Google. SwiftKey--أن هناك بعض الأسئلة الرئيسية التي يجب طرحها حول استخدام الأذونات في أجهزة Android "الحساسة للأمان" التطبيقات. يعتزم نظام التشغيل iOS 8 من Apple تقديم لوحات مفاتيح تابعة لجهات خارجية في الإصدار القادم، مع عدم توفر إمكانية الوصول إلى الإنترنت هذه التطبيقات افتراضيًا، وتمنح المستخدم فرصة رفض وصول لوحة المفاتيح إلى الإنترنت إذا طلب ذلك هو - هي.
على نظام Android، لا يتوفر لمستخدمي المخزون هذا الخيار. لحسن الحظ، إذا كنت مستخدمًا متجذرًا يقوم بتشغيل Xpose Framework، فإن XPrivacy يساعدك هنا. لقد قمت بحظر كل الأذونات من SwiftKey، باستثناء الوصول إلى قاموس المستخدم الخاص بي وبطاقة SD (حيث يتم تخزين بياناتها)، وهو يعمل بشكل جيد تمامًا. قد لا أحصل على "مزايا" لوحة المفاتيح المتصلة بالإنترنت (لماذا، بسبب حبي لكل ما هو Android، تريدني لوحة المفاتيح أن أسجل الدخول إلى G+ للحصول على ميزات "السحابة"؟ إنها لوحة المفاتيح!!)
من الواضح أن متجر Play يحاول بالتأكيد أن يجعل من الصعب معرفة الأذونات التي يتم الحصول عليها التي تستخدمها التطبيقات، والتغييرات الجديدة على الأذونات المصنفة تشكل مخاطر منفصلة وكبيرة تمامًا، مثل أنا أبرزت مؤخرا. ربما حان الوقت للمستخدمين الأذكياء تقنيًا للتوقف وتقييم ما قاموا بتثبيته على هواتفهم، والتطبيقات التي يثقون بها بكل ضغطات المفاتيح. هل أنت سعيد بوصول لوحة المفاتيح الخاصة بك إلى الإنترنت دون علمك؟ هل تعلم أنه يمكنه فعل ذلك عند تثبيته؟ هناك الكثير من الأسئلة، لقد حان الوقت ليطلب المستخدمون إجابات من المطورين، ويتحكموا في خصوصيتهم، حيث من الواضح أن Google ومطوري التطبيقات غير مهتمين بالقيام بذلك.