Muutama päivä sitten minä kirjoitti artikkelin tänne keskustelemme joistakin Google Play Kaupan käyttöoikeuksien käsittelyn muutoksista ja siitä, kuinka näillä muutoksilla voi olla haitallisia tietosuojariskejä käyttäjille. Tuon artikkelin kommentit osoittivat lukijoiden valtavan huolen siitä sovellukset käyttävät käyttöoikeuksia, ja monet haluavat suojautua App Opsilla tai XPrivacylla itse.
Tänään aion tehdä pienen kiertotien ja tarkastella kahden suositun sovelluksen: Googlen ensimmäisen osapuolen näppäimistön ja SwiftKeyn tarvitsemia käyttöoikeuksia. Molemmat ovat näppäimistösovelluksia, ja molemmat ovat ladattavissa ilmaiseksi Play Kaupasta (jälkimmäinen on nyt "freemium" maksullisilla teemoilla).
Huolimatta siitä, että näillä sovelluksilla on suora pääsy jokaiseen painamaasi näppäimeen, jokaiseen URL-osoitteeseen, jossa käyt, tekstiviestiin tai sähköpostiin lähettää ja kirjoittamasi salasanan, näyttää siltä, että harvat ihmiset todella ajattelevat näppäimistönsä käyttämiä käyttöoikeuksia ja Tämä.
Google-näppäimistö
Katsotaanpa Googlen näppäimistöä. Huomaa, että minun piti muokata alla olevaa kuvaa, koska Play Kaupan verkkokäyttöliittymä tekee parhaansa estääkseen sinua näkemästä koko luetteloa käyttöoikeuksia yhdessä näkymässä. Vaikka 20 tuuman näyttö olisi pystysuunnassa, se päätti silti piilottaa suurimman osan niistä tämän vierityksen sisällä näkymä. Katsomisen iloksi olen kuitenkin koonnut luettelon yhdeksi näkymäksi.
Katsotaanpa mitä täällä tapahtuu. Ensinnäkin Google-näppäimistöllä on pääsy omaan yhteystietokorttiisi ja laitteesi tileihin. Tämä tarkoittaa, että se voi tietää kuka olet ja kaikki sähköpostitilit (ja muut) laitteessasi käytettävissäsi. Tämä tarkoittaa, että he voivat nähdä, mitä Google/Dropbox/Twitter/Microsoft Exchange/Facebook-tilejä sinulla on käytettävissä puhelimessasi. Minulla ei ole aavistustakaan, miksi tätä tarvitaan, tai miksi ihmiset ovat valmiita antamaan tätä tietoa.
Seuraavaksi sovellus voi lukea yhteystietosi. Se on riittävän reilua – Google haluaa ilmeisesti lisätä yhteystietosi oikoluku- ja automaattisen täydennyksen tietokantoihin. Tämä on järkevää, ja se on perusteltua näppäimistölle. Mahdollisuus muokata tai poistaa USB-tallennustilan sisältöä on hieman outoa, mutta se sallii pääsyn Kaikille "SD-kortille" tallennetuille tiedoille ei valitettavasti ole todellista tapaa tehdä tätä yksityiskohtaisemmin tapa. Ihannetapauksessa Google käyttäisi vain suojattua /data/data tallennustilaa, joten sitä ei tarvitsisi. Vaihtoehtoisesti he voivat käyttää ASEC-säiliöitä saadakseen läpinäkyvästi lisää tallennustilaa SD-kortille ilman, että he tarvitsevat pääsyä SD-kortilla oleviin henkilötiedostoihisi.
Mahdollisuus ladata tiedostoja ilman ilmoitusta alkaa olla huolestuttavaa - Huomaa, että nämä luvat ovat piilossa luettelon lopussa, joten sinun on vieritettävä päästäksesi niitä. Se, miksi näppäimistö tarvitsee kykyä ei vain ladata tiedostoja, vaan tehdä sen kertomatta käyttäjälle, on varmasti huolestuttavaa. Kuinka paljon dataa se todella tarvitsee ladatakseen kertomatta sinulle?
Kyky ajaa käynnistyksen yhteydessä on hyvä. Tämä on jotain, jota voit kohtuudella odottaa näppäimistösovellukselta. Toisaalta piilossa, heti kenties vaarallisimman luvan jälkeen, on invasiivisin: täysi Internet-yhteys.
Kyllä, aivan oikein, Google-näppäimistöllä on täysi ja esteetön pääsy Internetiin sekä näppäinpainalluksiin, yhteystietoihin, SD-kortin sisältöön ja henkilöllisyyteen. Ja käyttöoikeusluettelomme hyppää välittömästi sanomaan, että Google-näppäimistö voi käyttää näppäimistöäsi harmittomasti. Luuleeko joku, että täällä on vähän "piilotettu" ikäviä lupia?
Seuraavat kaksi käyttöoikeutta ovat harmittomia ja mahdollistavat jälleen pääsyn käyttäjän mukautettuun sanakirjaan, täysin odotettavissa näppäimistösovellukselta. Lopuksi pyydetään lupaa tarkastella verkkoyhteyksiä. En voi jälleen kerran tarjota mitään käsitystä siitä, miksi tämä on tarpeen, paitsi helpottaa muita olemassa olevia Internet-käyttöoikeuksia tietämättäsi.
Näppäimistönä Googlen tarjonta on ironista kyllä melko hyvin varustettu käyttöoikeuksilla. Itse asiassa, tässä vaiheessa ajattelin, että olisi vaikea löytää näppäimistöä, jossa käyttäjien yksityisyys ottaisi vielä vähemmän huomioon käyttöoikeuksien valinnassa. Valitettavasti olin väärässä.
Swift-näppäin
SwiftKey, josta tuli hiljattain ilmainen sovellus, on erittäin suosittu kolmannen osapuolen näppäimistö, jota usein ylistetään sen ennustusalgoritmista, joka pystyy ennustamaan seuraavan käyttämäsi sanan. Maksaako tämä kuitenkin sen käyttöoikeuksien käytöstä? Olen jälleen kerran laajentanut tätä luetteloa, jonka Play Kaupan verkkokäyttöliittymä kokosi vieritettäväksi luetteloksi, jotta näet kaikki käyttöoikeudet kerralla.
Pikaisella silmäyksellä SwiftKey näyttää olevan melko samanlainen käyttöoikeusvalinnassaan kuin Google-näppäimistö. Sovelluksen sisäisten ostosten lisääminen johtuu siitä, että se lanseerattiin äskettäin uudelleen ilmaisena sovelluksena (eikä maksettavana sovelluksena), eikä sillä ole suurta huolta yksityisyyden kannalta.
Ensimmäinen eromme on, että SwiftKeyllä on pääsy SMS- ja MMS-viestien lukemiseen. Tämä on järkevää, koska SwiftKeyllä on ominaisuus oppia kielimalleja viesteistä. Valitettavasti, koska SwiftKey on suljetun lähdekoodin sovellus (kuten Google Keyboard), sitä on vaikea sanoa täsmälleen mitä näillä tiedoilla tehdään - enemmän avoimen lähdekoodin, korkealaatuisen ja näppäimistön valintoja tarvitaan ehdottomasti markkinoida!
Toinen ero on, että SwiftKey vaatii surullisen "READ_PHONE_STATE" -luvan. Tämä antaa pääsyn IMEI-, IMSI- ja SIMID-tunnisteisiin sekä puhelinnumeroihinja toisen osapuolen tiedot kaikissa puheluissa (mukaan lukien hänen puhelinnumeronsa). Tässä vaiheessa en todellakaan voi ajatella mitään lisättävää tähän miksi SwiftKey saattaa tarvita näitä tietoja. Toki kaikki Android 1.5:n kanssa yhteensopivat sovellukset näytetään käyttävän tätä lupaa, koska siihen ei tuolloin ollut erillistä lupaa. Android 1.5 on kuitenkin jäänne vuodelta 2009, joten sen olemassaololle ei ole mitään tekosyytä. Voin vain olettaa, että SwiftKey on äärettömässä viisautessaan päättänyt, että he haluavat pystyä jäljittämään käyttäjiään ja tarvitsevat ainutlaatuisen laitteistotunnisteen, kuten IMEI: n. Valitettavasti vaikka Google kieltää IMEI: n käytön mainonnan seurantaan (he haluavat, että sen sijaan käytetään käyttäjän nollattavaa mainostunnusta), heillä ei ole yleinen kielto käyttää laitetunnisteita, joita voidaan käyttää seuraamaan käyttöäsi sovellusten välillä ja jotka tarjoavat pysyvän keinon tunnistaa sinut tulevaisuutta.
Jälleen kerran SwiftKeyssä oli täydellinen Internet-yhteys, lupa, joka oli piilotettu "muu"-osioon. Olenko ainoa, joka on hieman huolissaan siitä, että SwiftKeyllä on täysi pääsy Internetiin, samoin kuin kaikki muista sen käyttämistä tiedoista (kuten tekstiviestit, henkilöllisyystiedot ja tilit ja IMEI)?
Johtopäätös
Se on selvää, kun tarkastellaan vain lyhyesti kahden suositun näppäimistön käyttöoikeuksia – toinen on Googlen oma ja toinen SwiftKey - että on joitain tärkeitä kysymyksiä, joita tulee kysyä lupien käytöstä "tietoturvaherkässä" Androidissa sovellukset. Applen iOS 8 aikoo esitellä kolmannen osapuolen näppäimistöt tulevassa julkaisussa ilman Internet-yhteyttä nämä sovellukset oletuksena ja käyttäjälle mahdollisuus estää näppäimistön pääsy Internetiin, jos se pyytää se.
Androidissa osakekäyttäjillä ei ole tätä vaihtoehtoa. Onneksi, jos olet juurtunut käyttäjä ja käytät Xposed Frameworkia, XPrivacy auttaa tässä. Olen estänyt kaikki SwiftKeyn luvat, lukuun ottamatta pääsyä käyttäjän sanakirjaan ja SD-korttiin (jolle se tallentaa tietonsa), ja se toimii täysin hyvin. En ehkä saa Internetiin yhdistetyn näppäimistön "etuja" (miksi, kaiken Androidin rakkaudesta, haluaako näppäimistöni minun kirjautuvan G+:aan saadakseni "pilvi"-ominaisuudet? Se on näppäimistö!!)
On selvää, että Play Kauppa yrittää varmasti tehdä vaikeaksi nähdä, mitä käyttöoikeuksia on tarjolla sovellusten käyttämä, ja uudet muutokset luokiteltuihin käyttöoikeuksiin aiheuttavat täysin erilliset ja merkittävät riskit, kuten minä korostettu äskettäin. Ehkä teknisesti taitavien käyttäjien on aika pysähtyä ja arvioida, mitä he ovat asentaneet puhelimeensa ja mihin sovelluksiin he luottavat kaikkien näppäinpainallustensa kanssa. Oletko tyytyväinen siihen, että näppäimistösi käyttää Internetiä tietämättäsi? Tiesitkö, että se voi tehdä niin, kun asensit sen? Paljon kysymyksiä, käyttäjien on aika vaatia vastauksia kehittäjiltä ja hallita omaa yksityisyyttään, koska on selvää, että Google ja sovelluskehittäjät eivät ole kiinnostuneita tästä.