Vor ein paar Tagen habe ich habe hier einen Artikel geschrieben Erörterung einiger Änderungen bei der Berechtigungsverarbeitung im Google Play Store und wie diese Änderungen negative Risiken für die Privatsphäre der Benutzer mit sich bringen können. Die Kommentare zu diesem Artikel zeigten eine überwältigende Besorgnis der Leser darüber Berechtigungen, die von Anwendungen verwendet werden, wobei viele zum Schutz App Ops oder XPrivacy verwenden möchten sich.
Heute mache ich einen kleinen Umweg und schaue mir die Berechtigungen an, die von zwei beliebten Apps benötigt werden: Googles Erstanbieter-Tastatur und SwiftKey. Bei beiden handelt es sich um Tastaturanwendungen, die kostenlos im Play Store heruntergeladen werden können (letzterer ist jetzt „Freemium“ mit kostenpflichtigen Themes).
Obwohl diese Anwendungen direkten Zugriff auf jede Taste haben, die Sie drücken, indem Sie jede URL eingeben, die Sie besuchen, Ihnen eine Textnachricht senden oder eine E-Mail senden Senden und Passwort, das Sie eingeben, scheint es, dass nur wenige Leute tatsächlich die von ihrer Tastatur verwendeten Berechtigungen und die Auswirkungen berücksichtigen Das.
Google-Tastatur
Werfen wir einen Blick auf die Tastatur von Google. Beachten Sie, dass ich das Bild unten bearbeiten musste, da die Weboberfläche des Play Store ihr Möglichstes tut, um zu verhindern, dass Sie die vollständige Liste sehen von Berechtigungen in einer Ansicht. Selbst bei einem 20-Zoll-Monitor in vertikaler Ausrichtung wurden die meisten davon immer noch in diesem Bildlauf ausgeblendet Sicht. Für Ihr Sehvergnügen habe ich die Liste jedoch in einer einzigen Ansicht zusammengefasst.
Werfen wir einen Blick darauf, was hier vor sich geht. Zunächst einmal hat Google Keyboard Zugriff auf Ihre eigene Kontaktkarte und Konten auf Ihrem Gerät. Dies bedeutet, dass es die Möglichkeit hat, zu erfahren, wer Sie sind und welche E-Mail-Konten (und andere) auf Ihrem Gerät verfügbar sind. Das bedeutet, dass sie sehen können, welche Google-/Dropbox-/Twitter-/Microsoft Exchange-/Facebook-Konten auf Ihrem Telefon verfügbar sind. Ich habe absolut keine Ahnung, warum das nötig ist und auch nicht, warum die Leute bereit sind, diese Informationen weiterzugeben.
Als nächstes kann die App Ihre Kontakte lesen. Das ist fair genug – Google möchte Ihre Kontaktnamen offensichtlich zur Rechtschreibprüfung und zur automatischen Vervollständigung hinzufügen. Das macht Sinn und ist für eine Tastatur durchaus vertretbar. Die Möglichkeit, den Inhalt des USB-Speichers zu ändern oder zu löschen, ist etwas seltsam, ermöglicht aber dennoch den Zugriff Auf alle Ihre auf Ihrer „SD-Karte“ gespeicherten Daten gibt es leider keine wirklich detailliertere Möglichkeit Weg. Im Idealfall würde Google nur das Sichere verwenden /data/data Speicher und würde dies daher nicht benötigen. Alternativ könnten sie ASEC-Container verwenden, um transparent mehr Speicherplatz auf Ihrer SD-Karte zu erhalten, ohne dass Zugriff auf Ihre Persona-Dateien auf der SD-Karte erforderlich ist.
Die Möglichkeit, Dateien ohne Benachrichtigung herunterzuladen, ist der Punkt, an dem es richtig besorgniserregend wird – Beachten Sie, dass diese Berechtigungen am Ende der Liste versteckt sind und Sie daher scrollen müssen, um dorthin zu gelangen ihnen. Es ist sicherlich besorgniserregend, warum eine Tastatur nicht nur die Möglichkeit haben muss, Dateien herunterzuladen, sondern dies auch zu tun, ohne es dem Benutzer mitzuteilen. Wie viele Daten muss es wirklich herunterladen, ohne es Ihnen mitzuteilen?
Die Möglichkeit, beim Start ausgeführt zu werden, ist in Ordnung. Das ist etwas, was man vernünftigerweise von einer Tastaturanwendung erwarten würde. Andererseits ist versteckt, direkt nach der vielleicht harmlosesten Erlaubnis, die eindringlichste: voller Internetzugang.
Ja, richtig, Google Keyboard hat vollständigen und uneingeschränkten Zugriff auf das Internet sowie auf Ihre Tastenanschläge, Kontakte, SD-Karteninhalte und Identität. Und unsere Berechtigungsliste weist sofort darauf hin, dass Google Keyboard Ihre Tastatur problemlos verwenden kann. Glaubt irgendjemand, dass hier die fiesen Berechtigungen ein wenig „versteckt“ werden?
Die nächsten beiden Berechtigungen sind harmlos und ermöglichen wiederum den Zugriff auf das benutzerdefinierte Wörterbuch des Benutzers, was von einer Tastaturanwendung völlig erwartet wird. Abschließend wird die Berechtigung zum Anzeigen von Netzwerkverbindungen angefordert. Auch hier kann ich keinen Einblick geben, warum dies notwendig ist, außer um die anderen bestehenden Berechtigungen für den Zugriff auf das Internet ohne Ihr Wissen zu ermöglichen.
Als Tastatur ist Googles Angebot ironischerweise recht gut mit Berechtigungen ausgestattet. Tatsächlich dachte ich zu diesem Zeitpunkt, dass es schwierig sein würde, eine Tastatur zu finden, die bei der Auswahl der Berechtigungen noch weniger Rücksicht auf die Privatsphäre des Benutzers nimmt. Leider habe ich mich geirrt.
Swiftkey
SwiftKey, das seit kurzem als kostenlose Anwendung verfügbar ist, ist eine sehr beliebte Tastatur eines Drittanbieters, die oft für ihren Vorhersagealgorithmus gelobt wird, der das nächste von Ihnen verwendete Wort vorhersagen kann. Ist dies jedoch mit Kosten für die Nutzung von Berechtigungen verbunden? Ich habe diese Liste, die von der Play Store-Weboberfläche zusammengefasst wurde, noch einmal zu einer Scrollliste erweitert, sodass Sie alle Berechtigungen auf einmal sehen können.
Auf den ersten Blick scheint SwiftKey in seiner Berechtigungsauswahl der Google-Tastatur ziemlich ähnlich zu sein. Die Hinzufügung von In-App-Käufen ist auf die kürzlich erfolgte Neueinführung als kostenlose App (und nicht als kostenpflichtige App) zurückzuführen und stellt keine große Gefahr für den Datenschutz dar.
Unser erster Unterschied besteht darin, dass SwiftKey Zugriff auf das Lesen von SMS- und MMS-Nachrichten hat. Dies ist sinnvoll, da SwiftKey über eine Funktion zum Erlernen von Sprachmustern aus Nachrichten verfügt. Da SwiftKey eine Closed-Source-Anwendung ist (wie Google Keyboard), ist das leider schwer zu sagen Genau das, was mit diesen Daten gemacht wird – mehr Open-Source-Tastaturen in hoher Qualität sind auf jeden Fall erforderlich Markt!
Ein weiterer Unterschied besteht darin, dass SwiftKey die berüchtigte „READ_PHONE_STATE“-Berechtigung beansprucht. Dadurch erhalten Sie Zugriff auf Ihre IMEI-, IMSI- und SIMID-Kennungen sowie Telefonnummern, und die Details des Gesprächspartners in allen Anrufen (einschließlich seiner Telefonnummer). Zum jetzigen Zeitpunkt fällt mir wirklich nichts ein, was ich hinzufügen könnte, warum SwiftKey diese Daten möglicherweise benötigt. Natürlich werden alle Apps, die mit Android 1.5 kompatibel sind, mit dieser Berechtigung angezeigt, da es zu diesem Zeitpunkt noch keine dedizierte Berechtigung dafür gab. Android 1.5 ist jedoch ein Relikt aus dem Jahr 2009, es gibt also keine Entschuldigung dafür, dass es heute noch vorhanden ist. Ich kann nur vermuten, dass SwiftKey in seiner unendlichen Weisheit entschieden hat, dass es seine Benutzer gerne verfolgen würde und dafür eine eindeutige Hardware-ID wie die IMEI benötigt. Leider verbietet Google zwar die Verwendung der IMEI für die Werbeverfolgung (sie möchten, dass stattdessen ihre vom Benutzer zurücksetzbare Werbe-ID verwendet wird), verfügt jedoch nicht über eine pauschales Verbot der Verwendung von Gerätekennungen im Allgemeinen, die dazu verwendet werden können, Ihre Nutzung zwischen Anwendungen zu verfolgen und eine dauerhafte Möglichkeit zur Identifizierung Ihrer Person bereitzustellen Zukunft.
Wieder einmal bot SwiftKey vollständigen Internetzugang, eine Berechtigung, die unten im Abschnitt „Andere“ versteckt ist. Bin ich der Einzige, der sich etwas Sorgen darüber macht, dass SwiftKey vollen Zugriff auf das Internet hat? der anderen Daten, auf die es zugreift (z. B. SMS-Nachrichten, Ihre Identitätsdaten und Konten usw.) IMEI)?
Abschluss
Schon ein kurzer Blick auf die Berechtigungen zweier beliebter Tastaturen verdeutlicht dies – eine von Google und eine von Google SwiftKey – dass einige wichtige Fragen zur Verwendung von Berechtigungen in „sicherheitssensiblem“ Android gestellt werden müssen Anwendungen. Apples iOS 8 beabsichtigt, in der kommenden Version Tastaturen von Drittanbietern einzuführen, für die kein Internetzugang verfügbar ist Diese Anwendungen werden standardmäßig deaktiviert und der Benutzer hat die Möglichkeit, der Tastatur den Zugriff auf das Internet zu verweigern, wenn er dies wünscht Es.
Auf Android haben Stock-Benutzer diese Option nicht. Glücklicherweise hilft XPrivacy hier, wenn Sie ein Root-Benutzer sind, der das Xposed Framework ausführt. Ich habe jede Berechtigung von SwiftKey blockiert, mit Ausnahme des Zugriffs auf mein Benutzerwörterbuch und meine SD-Karte (wo es seine Daten speichert), und es funktioniert absolut einwandfrei. Möglicherweise erhalte ich nicht die „Vorteile“ einer mit dem Internet verbundenen Tastatur (warum, bei allem, was Android ausmacht, möchte meine Tastatur, dass ich mich bei G+ anmelde, um „Cloud“-Funktionen zu erhalten? Es ist eine Tastatur!!)
Es ist klar, dass der Play Store sicherlich versucht, es schwierig zu machen, zu erkennen, welche Berechtigungen erteilt werden von Apps verwendet werden, und die neuen Änderungen an kategorisierten Berechtigungen stellen völlig separate und erhebliche Risiken dar, wie z ICH kürzlich hervorgehoben. Vielleicht ist es für technisch versierte Benutzer an der Zeit, innezuhalten und eine Bestandsaufnahme darüber zu machen, was sie auf ihrem Telefon installiert haben und welchen Apps sie bei all ihren Tastenanschlägen vertrauen. Sind Sie damit zufrieden, dass Ihre Tastatur ohne Ihr Wissen auf das Internet zugreift? Wussten Sie, dass es das kann, als Sie es installiert haben? Es gibt viele Fragen, es ist an der Zeit, dass Nutzer Antworten von den Entwicklern verlangen und die Kontrolle über ihre Privatsphäre übernehmen, denn es ist klar, dass Google und App-Entwickler daran nicht interessiert sind.