Hace unos días, yo escribió un artículo aquí analiza algunos cambios en el manejo de permisos de Google Play Store y cómo estos cambios pueden tener riesgos de privacidad adversos para los usuarios. Los comentarios sobre ese artículo indicaron una abrumadora preocupación por parte de los lectores en cuanto a la permisos que utilizan las aplicaciones, y muchas buscan usar App Ops o XPrivacy para proteger ellos mismos.
Hoy, me desviaré un poco y analizaré los permisos que necesitan dos aplicaciones populares: el teclado propio de Google y SwiftKey. Ambas son aplicaciones de teclado y ambas están disponibles para descargar de forma gratuita en Play Store (esta última ahora es "freemium" con temas de pago disponibles).
A pesar de que estas aplicaciones tienen acceso directo a cada tecla que presiona, al ingresar cada URL que visita, mensaje de texto o correo electrónico enviar y la contraseña que escribe, parece que pocas personas realmente consideran los permisos utilizados por su teclado y las implicaciones de este.
Teclado de Google
Echemos un vistazo al teclado de Google. Tenga en cuenta que tuve que editar la imagen a continuación, ya que la interfaz web de Play Store hace todo lo posible para evitar que vea la lista completa. de permisos en una vista. Incluso con un monitor de 20" en orientación vertical, todavía optó por ocultar la mayoría de ellos dentro de este desplazamiento vista. Sin embargo, para su placer visual, he reunido la lista en una sola vista.
Echemos un vistazo a lo que está pasando aquí. En primer lugar, Google Keyboard tiene acceso a su propia tarjeta de contacto y a las cuentas de su dispositivo. Esto significa que tiene la capacidad de saber quién es usted y todas las cuentas de correo electrónico (y otras) que tiene disponibles en su dispositivo. Eso significa que les es posible ver qué cuentas de Google/Dropbox/Twitter/Microsoft Exchange/Facebook tienes disponibles en tu teléfono. No tengo la menor idea de por qué es necesario esto, ni de por qué la gente está dispuesta a dar esta información.
A continuación, la aplicación puede leer tus contactos. Eso es bastante justo: Google obviamente quiere agregar los nombres de sus contactos al corrector ortográfico y a las bases de datos de autocompletar. Esto tiene sentido y es algo justificable para un teclado. La capacidad de modificar o eliminar el contenido del almacenamiento USB es algo extraña, pero si bien permite el acceso a todos los datos almacenados en su "tarjeta SD", lamentablemente no existe una forma real de hacerlo de forma más granular. forma. Lo ideal sería que Google sólo utilizara la seguridad /data/data almacenamiento y, por lo tanto, no lo necesitaría. Alternativamente, podrían usar contenedores ASEC para obtener de forma transparente más espacio de almacenamiento en su tarjeta SD, sin requerir ningún acceso a sus archivos personales en la tarjeta SD.
La capacidad de descargar archivos sin notificación es lo que comienza a ser realmente preocupante: tenga en cuenta que estos permisos están escondidos al final de la lista, por lo que debe desplazarse para llegar a ellos. Ciertamente es preocupante por qué un teclado necesita la capacidad no solo de descargar archivos, sino de hacerlo sin avisar al usuario. ¿Cuántos datos realmente necesita descargar sin decírtelo?
La capacidad de ejecutarse al inicio está bien. Eso es algo que razonablemente se esperaría de una aplicación de teclado. Por otro lado, escondido, inmediatamente después del permiso quizás más inofensivo, se encuentra el más invasivo: acceso completo a Internet.
Sí, así es, el Teclado de Google tiene acceso completo y sin restricciones a Internet, así como a las pulsaciones de teclas, los contactos, el contenido de la tarjeta SD y la identidad. Y nuestra lista de permisos inmediatamente dice que Google Keyboard puede usar su teclado de manera inofensiva. ¿Alguien piensa que se están "ocultando" un poco los permisos desagradables aquí?
Los siguientes dos permisos son inofensivos y permiten nuevamente el acceso al diccionario personalizado del usuario, algo totalmente esperado en una aplicación de teclado. Finalmente, se solicita el permiso para ver las conexiones de red. Una vez más, no puedo ofrecer ninguna idea de por qué es necesario esto, aparte de facilitar los otros permisos existentes para acceder a Internet sin su conocimiento.
Como teclado, la oferta de Google está irónicamente bastante bien dotada de permisos. De hecho, en este punto, pensé que sería difícil encontrar un teclado que tuviera aún menos en cuenta la privacidad del usuario en la selección de permisos. Desafortunadamente, me equivoqué.
tecla rápida
SwiftKey, que recientemente se convirtió en una aplicación gratuita, es un teclado de terceros muy popular, a menudo elogiado por su algoritmo de predicción, capaz de predecir la siguiente palabra que utilizará. Sin embargo, ¿esto tiene un costo en el uso de permisos? Una vez más, he ampliado esta lista, que la interfaz web de Play Store presentó en una lista de desplazamiento, para que pueda ver todos los permisos a la vez.
A primera vista, SwiftKey parece ser bastante similar en su selección de permisos al teclado de Google. La incorporación de compras dentro de la aplicación se debe a su reciente relanzamiento como una aplicación gratuita (en lugar de una aplicación de pago por adelantado) y no representa una gran preocupación para la privacidad.
Nuestra primera diferencia es que SwiftKey tiene acceso para leer mensajes SMS y MMS. Esto tiene sentido, dado que SwiftKey tiene una función para aprender patrones de lenguaje a partir de mensajes. Desafortunadamente, dado que SwiftKey es una aplicación de código cerrado (como el teclado de Google), es difícil saberlo. exactamente qué se hace con estos datos: definitivamente se necesitan más opciones de teclado de código abierto y de alta calidad en el ¡mercado!
Otra diferencia es que SwiftKey reclama el infame permiso "READ_PHONE_STATE". Esto le da acceso a sus identificadores IMEI, IMSI y SIMID, así como a sus números de teléfono.y los detalles de la otra parte en cualquier llamada (incluido su número de teléfono). En este punto, realmente no se me ocurre nada que agregar aquí sobre por qué SwiftKey podría necesitar estos datos. Claro, todas las aplicaciones compatibles con Android 1.5 se muestran usando este permiso, ya que no había ningún permiso dedicado para esto en ese momento. Sin embargo, Android 1.5 es una reliquia de 2009, por lo que no hay excusa para que esté presente hoy. Sólo puedo suponer que SwiftKey, en su infinita sabiduría, decidió que le gustaría poder rastrear a sus usuarios y necesitaba tener un identificador de hardware único como el IMEI para hacerlo. Desafortunadamente, aunque Google prohíbe el uso del IMEI para el seguimiento de publicidad (en su lugar, quieren que se utilice su ID de publicidad restablecible por el usuario), no tienen un Prohibición general del uso de identificadores de dispositivos en general, que pueden usarse para rastrear su uso entre aplicaciones y proporcionar un medio persistente para identificarlo en futuro.
Una vez más, SwiftKey ofreció acceso completo a Internet, un permiso escondido en la sección "otros". ¿Soy el único al que le preocupa un poco que SwiftKey tenga acceso completo a Internet, así como a todos de los demás datos a los que accede (como mensajes SMS, sus datos de identidad y cuentas, y IMEI)?
Conclusión
Queda claro con sólo una breve mirada a los permisos de dos teclados populares: uno es el de Google y el otro es SwiftKey: hay algunas preguntas importantes que deben plantearse sobre el uso de permisos en Android "sensible a la seguridad" aplicaciones. iOS 8 de Apple tiene la intención de introducir teclados de terceros en la próxima versión, sin acceso a Internet disponible para estas aplicaciones de forma predeterminada, y una oportunidad para que el usuario niegue el acceso del teclado a Internet si lo solicita él.
En Android, los usuarios de stock no tienen esta opción. Afortunadamente, si eres un usuario root y ejecutas Xposed Framework, XPrivacy te ayuda aquí. He bloqueado todos los permisos de SwiftKey, con la excepción de acceder a mi diccionario de usuario y a mi tarjeta SD (donde almacena sus datos), y funciona absolutamente bien. Es posible que no obtenga las "ventajas" de un teclado conectado a Internet (¿por qué, por amor a todo lo que es Android, mi teclado quiere que inicie sesión en G+ para obtener funciones de "nube"? ¡¡Es un teclado!!)
Está claro que Play Store ciertamente está tratando de dificultar ver qué permisos se están otorgando. utilizado por las aplicaciones, y los nuevos cambios en los permisos categorizados plantean riesgos completamente separados y significativos, como I destacado recientemente. Tal vez sea hora de que los usuarios con conocimientos técnicos se detengan y hagan un balance de lo que han instalado en su teléfono y en qué aplicaciones confían con todas sus pulsaciones de teclas. ¿Está satisfecho con el acceso de su teclado a Internet sin su conocimiento? ¿Sabías que podía hacer eso cuando lo instalaste? Muchas preguntas, es hora de que los usuarios exijan respuestas a los desarrolladores y tomen el control de su propia privacidad, ya que está claro que Google y los desarrolladores de aplicaciones no están interesados en hacer esto.