Mõni päev tagasi ma kirjutas siia artikli arutada mõningaid muudatusi Google Play poe lubade käsitlemises ja seda, kuidas need muudatused võivad kasutajate jaoks ebasoodsaid privaatsusriske avaldada. Kommentaarid selle artikli kohta näitasid lugejate tohutut muret selle pärast rakendused kasutavad õigusi, paljud soovivad kaitseks kasutada App Opsi või XPrivacyt ise.
Täna teen väikese kõrvalepõike ja vaatan lubasid, mida vajavad kaks populaarset rakendust: Google'i esimese osapoole klaviatuur ja SwiftKey. Mõlemad on klaviatuurirakendused ja mõlemad on Play poest tasuta allalaadimiseks saadaval (viimane on nüüd "freemium" ja saadaval on tasulised teemad).
Vaatamata sellele, et neil rakendustel on otsene juurdepääs igale teie vajutatud klahvile, sisestades iga külastatud URL-i, tekstisõnumi või meili saata ja sisestatud parooli, tundub, et vähesed inimesed mõtlevad tegelikult nende klaviatuuri kasutatavatele õigustele ja see.
Google'i klaviatuur
Heidame pilgu Google'i klaviatuurile. Pange tähele, et pidin allolevat pilti muutma, kuna Play poe veebiliides annab endast parima, et te ei näeks täielikku loendit õigusi ühes vaates, isegi kui 20-tolline monitor on vertikaalses asendis, otsustas see siiski enamiku neist selles kerimises peita. vaade. Teie vaatamisrõõmuks olen aga koondanud nimekirja üheks vaateks.
Vaatame, mis siin toimub. Esiteks on Google'i klaviatuuril juurdepääs teie enda kontaktikaardile ja teie seadmes olevatele kontodele. See tähendab, et sellel on võimalus teada, kes te olete, ja kõiki teie seadmes saadaolevaid meilikontosid (ja muid kontosid). See tähendab, et neil on võimalik näha, millised Google'i/Dropboxi/Twitteri/Microsoft Exchange'i/Facebooki kontod on teie telefonis saadaval. Mul pole absoluutselt aimugi, miks seda vaja on ega ka miks inimesed on nõus seda teavet edasi andma.
Järgmisena saab rakendus teie kontakte lugeda. See on aus – Google soovib ilmselgelt lisada teie kontaktide nimed õigekirjakontrolli ja automaatse täitmise andmebaasidesse. See on mõistlik ja klaviatuuri puhul õigustatud. USB-mäluseadme sisu muutmise või kustutamise võimalus on mõnevõrra kummaline, kuid see võimaldab juurdepääsu kõikidele teie SD-kaardile salvestatud andmetele pole kahjuks enam täpset võimalust seda teha tee. Ideaalis kasutaks Google ainult turvalist /data/data salvestusruumi ja seetõttu poleks seda vaja. Teise võimalusena võivad nad kasutada ASEC-konteinereid, et saada läbipaistvalt teie SD-kaardile rohkem salvestusruumi, ilma et oleks vaja juurdepääsu teie SD-kaardil olevatele isikufailidele.
Võimalus faile ilma teavituseta alla laadida on see koht, kus see hakkab korralikult muret tekitama - Pange tähele, et need load on peidetud loendi lõppu, nii et peate nendeni jõudmiseks kerima neid. Kindlasti on murettekitav, miks klaviatuuril on vaja faile mitte ainult alla laadida, vaid teha seda ilma kasutajale ütlemata. Kui palju andmeid on tegelikult vaja allalaadimiseks ilma teile ütlemata?
Käivitusvõime on hea. See on midagi, mida võiks klaviatuurirakenduselt mõistlikult oodata. Teisest küljest, kohe pärast võib-olla kõige kahjutumat luba, on see kõige invasiivsem: täielik Interneti-juurdepääs.
Jah, see on õige, Google'i klaviatuuril on täielik ja piiramatu juurdepääs Internetile, samuti teie klahvivajutused, kontaktid ja SD-kaardi sisu ja identiteet. Ja meie lubade loend ütleb kohe, et Google'i klaviatuur võib teie klaviatuuri kahjutult kasutada. Kas keegi arvab, et siin on natuke "varjatud" vastikuid lubasid?
Järgmised kaks luba on kahjutud ja võimaldavad uuesti juurdepääsu kasutaja kohandatud sõnastikule, mida klaviatuurirakenduselt täielikult eeldatakse. Lõpuks küsitakse luba võrguühenduste vaatamiseks. Ma ei saa jällegi pakkuda muud teavet selle kohta, miks seda vaja on, välja arvatud selleks, et hõlbustada muid olemasolevaid lubasid Internetile juurdepääsuks teie teadmata.
Klaviatuurina on Google'i pakkumine raudselt üsna hästi varustatud lubadega. Tõepoolest, praegu arvasin, et on raske leida klaviatuuri, mille lubade valikul oleks kasutaja privaatsust veelgi vähem arvesse võetud. Kahjuks eksisin.
Swiftkey
SwiftKey, millest sai hiljuti tasuta rakendus, on väga populaarne kolmanda osapoole klaviatuur, mida sageli kiidetakse selle ennustamisalgoritmi eest, mis suudab ennustada järgmist kasutatavat sõna. Kas see maksab aga lubade kasutamise eest? Veel kord laiendasin seda loendit, mille Play poe veebiliides koondas keritavaks loendiks, nii et näete kõiki õigusi korraga.
Kiire pilguga näib SwiftKey oma lubade valikus olevat üsna sarnane Google'i klaviatuuriga. Rakendusesiseste ostude lisamine on tingitud selle hiljutisest taaskäivitamisest tasuta rakendusena (mitte tasulise rakendusena) ja see ei ole privaatsuse seisukohalt eriti oluline.
Meie esimene erinevus on see, et SwiftKeyl on juurdepääs SMS- ja MMS-sõnumite lugemiseks. See on mõistlik, kuna SwiftKeyl on funktsioon sõnumitest keelemustrite õppimiseks. Kahjuks, arvestades, et SwiftKey on suletud lähtekoodiga rakendus (nagu Google'i klaviatuur), on seda raske öelda täpselt seda, mida nende andmetega tehakse – kindlasti on vaja rohkem avatud lähtekoodiga, kvaliteetset klaviatuurivalikut turule!
Teine erinevus on see, et SwiftKey nõuab kurikuulsat luba "READ_PHONE_STATE". See annab juurdepääsu teie IMEI-, IMSI- ja SIMID-identifikaatoritele ning telefoninumbriteleja teise poole andmed kõigis kõnedes (sh tema telefoninumber). Siinkohal ei suuda ma tõesti midagi lisada, miks SwiftKey võib neid andmeid vajada. Muidugi kuvatakse seda luba kasutavad kõik rakendused, mis ühilduvad Android 1.5-ga, kuna sel ajal polnud selleks spetsiaalset luba. Android 1.5 on aga jäänuk aastast 2009, seega pole selle tänaseks olemiseks vabandust. Ma võin ainult oletada, et SwiftKey on oma lõputu tarkusega otsustanud, et nad sooviksid oma kasutajaid jälgida ja vajasid selleks ainulaadset riistvaraidentifikaatorit, nagu IMEI. Kahjuks, kuigi Google keelab IMEI kasutamise reklaamide jälgimiseks (nad tahavad, et selle asemel kasutataks nende kasutaja lähtestatavat reklaami ID-d), ei ole neil üldine keeld kasutada seadme identifikaatoreid, mida saab kasutada teie kasutuse jälgimiseks rakenduste vahel ja mis pakuvad püsivat vahendit teie tuvastamiseks tulevik.
Taas oli SwiftKey täielik Interneti-juurdepääs, luba, mis oli peidetud jaotisesse "Muud". Kas ma olen ainus, kes on veidi mures, et SwiftKeyl on täielik juurdepääs Internetile ja ka kõigile muudest andmetest, millele see juurde pääseb (nt SMS-sõnumid, teie isikuandmed ja kontod ning IMEI)?
Järeldus
See on selge, kui vaadata kahe populaarse klaviatuuri lubasid – üks on Google'i oma ja teine on SwiftKey – et "turvatundlikus" Androidis lubade kasutamise kohta tuleb esitada mõned olulised küsimused rakendusi. Apple'i iOS 8 kavatseb eelseisvas versioonis tutvustada kolmandate osapoolte klaviatuure, mille jaoks pole Interneti-juurdepääsu need rakendused vaikimisi ja võimalus kasutajal keelata klaviatuuri juurdepääs Internetile, kui see seda nõuab seda.
Androidis pole aktsiate kasutajatel seda võimalust. Õnneks, kui olete juurdunud kasutaja, kes kasutab Xposed Frameworki, aitab XPrivacy siin õnneks. Olen blokeerinud kõik SwiftKey load, välja arvatud juurdepääs oma kasutajasõnastikule ja SD-kaardile (kus see oma andmeid talletab) ning see töötab täiesti hästi. Ma ei pruugi saada Interneti-ühendusega klaviatuuri eeliseid (miks Androidi armastuse tõttu soovib mu klaviatuur, et logiksin sisse teenusesse G+, et saada pilvefunktsioone? See on klaviatuur!!)
On selge, et Play pood üritab kindlasti raskendada juurdepääsu lubade nägemist mida rakendused kasutavad, ja uued muudatused kategoriseeritud lubades kujutavad endast täiesti eraldiseisvaid ja olulisi riske, nagu I hiljuti esile tõstetud. Võib-olla on tehniliselt asjatundlikel kasutajatel aeg peatuda ja teha kokkuvõte sellest, mida nad on oma telefoni installinud ja milliseid rakendusi nad kõigi klahvivajutustega usaldavad. Kas olete rahul sellega, et klaviatuur pääseb Internetti ilma teie teadmata? Kas teadsite, et seda saab installimisel teha? Palju küsimusi, kasutajatel on aeg nõuda arendajatelt vastuseid ja võtta enda privaatsus kontrolli alla, sest on selge, et Google ja rakenduste arendajad pole sellest huvitatud.