Πριν λίγες μέρες, εγώ έγραψε ένα άρθρο εδώ συζήτηση για ορισμένες αλλαγές στον χειρισμό των αδειών του Google Play Store και πώς αυτές οι αλλαγές ενδέχεται να έχουν αρνητικούς κινδύνους για το απόρρητο των χρηστών. Τα σχόλια σε αυτό το άρθρο έδειξαν μια συντριπτική ανησυχία από τους αναγνώστες ως προς το δικαιώματα που χρησιμοποιούνται από εφαρμογές, με πολλούς να θέλουν να χρησιμοποιήσουν το App Ops ή το XPrivacy για προστασία τους εαυτούς τους.
Σήμερα, θα κάνω μια μικρή παράκαμψη και θα εξετάσω τις άδειες που χρειάζονται δύο δημοφιλείς εφαρμογές: το πληκτρολόγιο πρώτου πάρτι της Google και το SwiftKey. Και οι δύο είναι εφαρμογές πληκτρολογίου και είναι διαθέσιμες για λήψη δωρεάν στο Play Store (το τελευταίο είναι πλέον "freemium" με διαθέσιμα θέματα για πληρωμή).
Παρόλο που αυτές οι εφαρμογές έχουν άμεση πρόσβαση σε κάθε πλήκτρο που πατάτε, κατά την εισαγωγή κάθε διεύθυνσης URL που επισκέπτεστε, μηνύματος κειμένου ή αποστολής email αποστολή και τον κωδικό πρόσβασης που πληκτρολογείτε, φαίνεται ότι λίγοι άνθρωποι πραγματικά λαμβάνουν υπόψη τα δικαιώματα που χρησιμοποιούνται από το πληκτρολόγιό τους και τις συνέπειες του Αυτό.
Πληκτρολόγιο Google
Ας ρίξουμε μια ματιά στο πληκτρολόγιο της Google. Λάβετε υπόψη ότι έπρεπε να επεξεργαστώ την παρακάτω εικόνα, καθώς η διεπαφή ιστού του Play Store κάνει ό, τι καλύτερο μπορεί για να σας εμποδίσει να δείτε την πλήρη λίστα των δικαιωμάτων σε μία προβολή, Ακόμη και με οθόνη 20" σε κατακόρυφο προσανατολισμό, επέλεξε να κρύψει τα περισσότερα από αυτά σε αυτήν την κύλιση θέα. Για την ευχαρίστησή σας, ωστόσο, συγκέντρωσα τη λίστα σε μια ενιαία προβολή.
Ας ρίξουμε μια ματιά στο τι συμβαίνει εδώ. Πρώτα απ 'όλα, το Πληκτρολόγιο Google έχει πρόσβαση στη δική σας κάρτα επαφής και στους λογαριασμούς στη συσκευή σας. Αυτό σημαίνει ότι έχει τη δυνατότητα να γνωρίζει ποιος είστε και όλους τους λογαριασμούς email (και άλλους) που έχετε διαθέσιμους στη συσκευή σας. Αυτό σημαίνει ότι είναι δυνατό για αυτούς να δουν ποιους λογαριασμούς Google/Dropbox/ Twitter/Microsoft Exchange/Facebook έχετε διαθέσιμους στο τηλέφωνό σας. Δεν έχω απολύτως καμία ιδέα γιατί χρειάζεται αυτό, ούτε γιατί οι άνθρωποι είναι πρόθυμοι να δώσουν αυτές τις πληροφορίες.
Στη συνέχεια, η εφαρμογή μπορεί να διαβάσει τις επαφές σας. Αυτό είναι αρκετά δίκαιο -- η Google προφανώς θέλει να προσθέσει τα ονόματα των επαφών σας στις βάσεις δεδομένων ορθογραφικού ελέγχου και αυτόματης συμπλήρωσης. Αυτό είναι λογικό και είναι κάτι δικαιολογημένο για ένα πληκτρολόγιο. Η δυνατότητα τροποποίησης ή διαγραφής των περιεχομένων του αποθηκευτικού χώρου USB είναι κάπως περίεργη, αλλά ενώ επιτρέπει την πρόσβαση σε όλα τα δεδομένα σας που είναι αποθηκευμένα στην "κάρτα SD" σας, δυστυχώς δεν υπάρχει πραγματικός τρόπος να το κάνετε αυτό με πιο αναλυτικό τρόπο τρόπος. Στην ιδανική περίπτωση, η Google θα χρησιμοποιούσε μόνο την ασφάλεια /data/data αποθήκευση, και ως εκ τούτου δεν θα χρειαστεί αυτό. Εναλλακτικά, θα μπορούσαν να χρησιμοποιήσουν κοντέινερ ASEC για να αποκτήσουν με διαφάνεια περισσότερο χώρο αποθήκευσης στην κάρτα SD σας, χωρίς να απαιτείται πρόσβαση στα αρχεία περσόνα σας στην κάρτα SD.
Η δυνατότητα λήψης αρχείων χωρίς ειδοποίηση είναι εκεί που αρχίζει να γίνεται σωστά - Σημειώστε ότι αυτά τα δικαιώματα είναι κρυμμένα στο κάτω μέρος της λίστας, επομένως πρέπει να κάνετε κύλιση για να φτάσετε τους. Ο λόγος για τον οποίο ένα πληκτρολόγιο χρειάζεται τη δυνατότητα όχι μόνο να κατεβάζει αρχεία, αλλά να το κάνει χωρίς να το λέει στον χρήστη, είναι σίγουρα ανησυχητικό. Πόσα δεδομένα χρειάζεται πραγματικά για λήψη χωρίς να σας το πω;
Η δυνατότητα εκτέλεσης κατά την εκκίνηση είναι μια χαρά. Αυτό είναι κάτι που εύλογα θα περίμενες από μια εφαρμογή πληκτρολογίου. Από την άλλη, κρυμμένο, αμέσως μετά την ίσως πιο αβλαβή άδεια, είναι το πιο επεμβατικό: πλήρης πρόσβαση στο Διαδίκτυο.
Ναι, αυτό είναι σωστό, το Πληκτρολόγιο Google έχει πλήρη και απεριόριστη πρόσβαση στο Διαδίκτυο, καθώς και τα πλήκτρα, τις επαφές και τα περιεχόμενα της κάρτας SD και την ταυτότητά σας. Και η λίστα αδειών μας μεταβαίνει αμέσως στο να λέει ότι το Πληκτρολόγιο Google μπορεί να χρησιμοποιήσει ακίνδυνα το πληκτρολόγιό σας. Πιστεύει κανείς ότι υπάρχει λίγο «κρυψη» των δυσάρεστων αδειών που συμβαίνουν εδώ;
Τα επόμενα δύο δικαιώματα είναι αβλαβή και επιτρέπουν την πρόσβαση στο προσαρμοσμένο λεξικό του χρήστη ξανά, απολύτως αναμενόμενο από μια εφαρμογή πληκτρολογίου. Τέλος, ζητείται η άδεια προβολής συνδέσεων δικτύου. Δεν μπορώ για άλλη μια φορά να προσφέρω καμία εικόνα ως προς το γιατί υπάρχει ανάγκη για αυτό, εκτός από τη διευκόλυνση των άλλων υπαρχόντων αδειών πρόσβασης στο Διαδίκτυο εν αγνοία σας.
Ως πληκτρολόγιο, η προσφορά της Google είναι ειρωνικά αρκετά καλά προικισμένη με άδειες. Πράγματι, σε αυτό το σημείο, σκέφτηκα ότι θα ήταν δύσκολο να βρω ένα πληκτρολόγιο με ακόμη λιγότερο ενδιαφέρον για το απόρρητο των χρηστών κατά την επιλογή των δικαιωμάτων. Δυστυχώς έκανα λάθος.
Swiftkey
Το SwiftKey, το οποίο έγινε πρόσφατα δωρεάν εφαρμογή, είναι ένα πολύ δημοφιλές πληκτρολόγιο τρίτων κατασκευαστών, που συχνά επαινείται για τον αλγόριθμο πρόβλεψής του που μπορεί να προβλέψει την επόμενη λέξη που θα χρησιμοποιήσετε. Ωστόσο, αυτό έχει κάποιο κόστος στη χρήση των αδειών; Για άλλη μια φορά, έχω επεκτείνει αυτήν τη λίστα, η οποία συγκεντρώθηκε από τη διεπαφή ιστού του Play Store σε μια κυλιόμενη λίστα, ώστε να μπορείτε να δείτε όλα τα δικαιώματα ταυτόχρονα.
Με μια γρήγορη ματιά, το SwiftKey φαίνεται να είναι αρκετά παρόμοιο στην επιλογή αδειών του με το Πληκτρολόγιο Google. Η προσθήκη των αγορών εντός εφαρμογής οφείλεται στην πρόσφατη επανακυκλοφορία της ως δωρεάν εφαρμογή (και όχι ως εφαρμογή προκαταβολής) και δεν ανησυχεί ιδιαίτερα για το απόρρητο.
Η πρώτη μας διαφορά είναι ότι το SwiftKey έχει πρόσβαση στην ανάγνωση μηνυμάτων SMS και MMS. Αυτό είναι λογικό, δεδομένου ότι το SwiftKey έχει μια δυνατότητα να μαθαίνει μοτίβα γλώσσας από μηνύματα. Δυστυχώς, δεδομένου ότι το SwiftKey είναι μια εφαρμογή κλειστού κώδικα (όπως το Πληκτρολόγιο Google), είναι δύσκολο να το καταλάβουμε τι ακριβώς γίνεται με αυτά τα δεδομένα -- χρειάζονται σίγουρα περισσότερες επιλογές ανοιχτού κώδικα, υψηλής ποιότητας και πληκτρολογίου αγορά!
Μια άλλη διαφορά είναι ότι το SwiftKey διεκδικεί την περίφημη άδεια "READ_PHONE_STATE". Αυτό δίνει πρόσβαση στα αναγνωριστικά IMEI, IMSI και SIMID, καθώς και στους αριθμούς τηλεφώνου σας, και τα στοιχεία του άλλου μέρους σε τυχόν κλήσεις (συμπεριλαμβανομένου του αριθμού τηλεφώνου του). Σε αυτό το σημείο, πραγματικά δεν μπορώ να σκεφτώ τίποτα να προσθέσω εδώ σχετικά με το γιατί το SwiftKey μπορεί να χρειαστεί αυτά τα δεδομένα. Σίγουρα, όλες οι εφαρμογές που είναι συμβατές με το Android 1.5 εμφανίζονται ότι χρησιμοποιούν αυτήν την άδεια, καθώς δεν υπήρχε ειδική άδεια για αυτό εκείνη τη στιγμή. Το Android 1.5 είναι ένα λείψανο του 2009, ωστόσο, δεν υπάρχει καμία δικαιολογία για αυτό το παρόν σήμερα. Μπορώ μόνο να υποθέσω ότι το SwiftKey, με την απέραντη σοφία του, αποφάσισε ότι θα ήθελαν να μπορούν να παρακολουθούν τους χρήστες τους και έπρεπε να έχουν ένα μοναδικό αναγνωριστικό υλικού όπως το IMEI για να το κάνουν. Δυστυχώς, ενώ η Google απαγορεύει τη χρήση του IMEI για παρακολούθηση διαφημίσεων (θέλουν να χρησιμοποιηθεί το αναγνωριστικό διαφήμισης με δυνατότητα επαναφοράς από τον χρήστη), δεν διαθέτουν γενική απαγόρευση της χρήσης αναγνωριστικών συσκευών γενικά, τα οποία μπορούν να χρησιμοποιηθούν για την παρακολούθηση της χρήσης σας μεταξύ των εφαρμογών και να παρέχουν ένα μόνιμο μέσο ταυτοποίησής σας σε μελλοντικός.
Για άλλη μια φορά, το SwiftKey παρουσίασε πλήρη πρόσβαση στο Διαδίκτυο, μια άδεια κρυμμένη στην ενότητα "άλλα". Είμαι ο μόνος που ανησυχεί κάπως ότι το SwiftKey έχει πλήρη πρόσβαση στο Διαδίκτυο, καθώς και σε όλα από τα άλλα δεδομένα στα οποία έχει πρόσβαση (όπως μηνύματα SMS, στοιχεία ταυτότητας και λογαριασμούς και IMEI);
συμπέρασμα
Είναι σαφές μόνο από μια σύντομη ματιά στις άδειες δύο δημοφιλών πληκτρολογίων -- το ένα είναι δικό της Google και το άλλο SwiftKey--ότι υπάρχουν ορισμένες σημαντικές ερωτήσεις που πρέπει να τεθούν σχετικά με τη χρήση των αδειών σε "ευαίσθητα στην ασφάλεια" Android εφαρμογές. Το iOS 8 της Apple σκοπεύει να εισαγάγει πληκτρολόγια τρίτων στην επερχόμενη έκδοση, χωρίς πρόσβαση στο Διαδίκτυο για αυτές οι εφαρμογές από προεπιλογή, και μια ευκαιρία για τον χρήστη να αρνηθεί την πρόσβαση του πληκτρολογίου στο διαδίκτυο εάν το ζητήσει το.
Στο Android, οι χρήστες μετοχών δεν έχουν αυτήν την επιλογή. Ευτυχώς, εάν είστε χρήστης με root που εκτελεί το Xposed Framework, το XPrivacy βοηθάει εδώ. Έχω μπλοκάρει κάθε άδεια από το SwiftKey, με εξαίρεση την πρόσβαση στο λεξικό χρήστη και την κάρτα SD (όπου αποθηκεύει τα δεδομένα του) και λειτουργεί άψογα. Μπορεί να μην έχω τα "πλεονεκτήματα" ενός πληκτρολογίου που είναι συνδεδεμένο στο Διαδίκτυο (γιατί, για την αγάπη όλων όσων είναι το Android, το πληκτρολόγιό μου θέλει να συνδεθώ στο G+ για να αποκτήσω λειτουργίες "σύννεφου"; Είναι ένα πληκτρολόγιο!!)
Είναι ξεκάθαρο ότι το Play Store προσπαθεί σίγουρα να δυσκολέψει να δει ποιες άδειες υπάρχουν που χρησιμοποιούνται από εφαρμογές και οι νέες αλλαγές στα κατηγοριοποιημένα δικαιώματα ενέχουν εντελώς ξεχωριστούς και σημαντικούς κινδύνους, καθώς Εγώ τονίστηκε πρόσφατα. Ίσως είναι καιρός οι τεχνικά έμπειροι χρήστες να σταματήσουν και να κάνουν απολογισμό του τι έχουν εγκαταστήσει στο τηλέφωνό τους και ποιες εφαρμογές εμπιστεύονται με όλα τα πλήκτρα τους. Είστε ευχαριστημένοι με το πληκτρολόγιό σας που έχει πρόσβαση στο Διαδίκτυο εν αγνοία σας; Γνωρίζατε ότι θα μπορούσε να το κάνει αυτό όταν το εγκαταστήσατε; Πολλές ερωτήσεις, είναι καιρός οι χρήστες να ζητήσουν απαντήσεις από τους προγραμματιστές και να πάρουν τον έλεγχο του απορρήτου τους, καθώς είναι σαφές ότι η Google και οι προγραμματιστές εφαρμογών δεν ενδιαφέρονται να το κάνουν.