Néhány napja I írt itt egy cikket megvitatja a Google Play Áruház engedélyek kezelésének néhány változását, és azt, hogy ezek a változtatások miként járhatnak káros adatvédelmi kockázatokkal a felhasználók számára. A cikkhez fűzött megjegyzések az olvasók túlnyomó aggodalmát jelezték engedélyeket használnak az alkalmazások, és sokan az App Ops vagy az XPrivacy segítségével szeretnék védekezni maguk.
Ma teszek egy kis kitérőt, és megnézem, milyen engedélyekre van szüksége két népszerű alkalmazásnak: a Google első fél billentyűzetének és a SwiftKey-nek. Mindkettő billentyűzet-alkalmazás, és mindkettő ingyenesen letölthető a Play Áruházból (utóbbi most "freemium" fizetős témákkal).
Annak ellenére, hogy ezek az alkalmazások közvetlenül hozzáférnek minden megnyomott billentyűhöz, minden meglátogatott URL-cím megadásakor, szöveges üzenetben vagy e-mailben küldése és a beírt jelszó, úgy tűnik, kevesen veszik figyelembe a billentyűzetük által használt engedélyeket és a ez.
Google billentyűzet
Vessünk egy pillantást a Google billentyűzetére. Vegye figyelembe, hogy az alábbi képet módosítanom kellett, mivel a Play Áruház webes felülete mindent megtesz, hogy ne lássa a teljes listát engedélyek egy nézetben, még egy 20"-es, függőleges tájolású monitor esetén is úgy döntött, hogy a legtöbbet elrejti ezen a görgetésen belül Kilátás. A megtekintés örömére azonban a listát egyetlen nézetben gyűjtöttem össze.
Nézzük meg, mi folyik itt. Először is, a Google Keyboard hozzáfér az Ön saját névjegykártyájához és fiókjaihoz az eszközön. Ez azt jelenti, hogy képes tudni, hogy Ön kicsoda, valamint az eszközén elérhető összes e-mail (és egyéb) fiókot. Ez azt jelenti, hogy láthatják, hogy milyen Google/Dropbox/Twitter/Microsoft Exchange/Facebook fiókok érhetők el a telefonon. Fogalmam sincs, miért van erre szükség, és azt sem, hogy az emberek miért hajlandók átadni ezt az információt.
Ezután az alkalmazás elolvashatja a névjegyeit. Ez elég tisztességes – a Google nyilvánvalóan hozzá akarja adni az Ön kapcsolattartói nevét a helyesírás-ellenőrző és az automatikus kiegészítés adatbázisához. Ez logikus, és egy billentyűzet esetében indokolt. Az USB-tároló tartalmának módosítása vagy törlése kissé furcsa, de bár lehetővé teszi a hozzáférést az „SD-kártyán” tárolt összes adathoz, sajnos nincs igazi módja ennek részletesebb megtételére út. Ideális esetben a Google csak a biztonságosat használná /data/data tárhely, ezért erre nincs szüksége. Alternatív megoldásként használhatnak ASEC-tárolókat, hogy átláthatóan több tárhelyet szerezzenek az SD-kártyán anélkül, hogy hozzá kellene férniük az SD-kártyán lévő személyes fájljaihoz.
A fájlok értesítés nélküli letöltése az, ahol kezd aggasztó lenni - vegye figyelembe, hogy ezek az engedélyek a lista alján vannak elrejtve, ezért görgetnie kell az eléréshez őket. Nagyon aggasztó, hogy a billentyűzetnek miért van szüksége arra, hogy ne csak letöltse a fájlokat, hanem anélkül, hogy erről a felhasználónak szólna. Tényleg mennyi adatra van szüksége a letöltéshez anélkül, hogy szólna?
Az indításkor való futtathatóság rendben van. Ez az, amit ésszerűen elvárhat egy billentyűzet alkalmazástól. Másrészt elrejtve, közvetlenül a talán legártalmatlanabb engedély után, a leginvazívabb: teljes internet hozzáférés.
Igen, ez így van, a Google Keyboard teljes és korlátlan hozzáféréssel rendelkezik az internethez, valamint a billentyűleütésekhez, a névjegyekhez, az SD-kártya tartalmához és az identitáshoz. Engedélylistánk pedig azonnal azt mondja, hogy a Google Keyboard ártalmatlanul tudja használni a billentyűzetet. Valaki azt hiszi, hogy itt egy kicsit "elrejtik" a csúnya engedélyeket?
A következő két engedély ártalmatlan, és ismét hozzáférést tesz lehetővé a felhasználó egyéni szótárához, teljesen elvárt egy billentyűzet alkalmazástól. Végül engedélyt kell kérni a hálózati kapcsolatok megtekintéséhez. Még egyszer nem tudok betekintést nyújtani abba, hogy miért van erre szükség, azon kívül, hogy megkönnyítsem a többi meglévő engedélyt az internethez az Ön tudta nélkül való eléréséhez.
Billentyűzetként a Google kínálata ironikus módon meglehetősen jól felszerelt az engedélyekkel. Valójában ezen a ponton úgy gondoltam, hogy nehéz lenne olyan billentyűzetet találni, amely még kevésbé veszi figyelembe a felhasználók adatait az engedélyek kiválasztásakor. Sajnos tévedtem.
Swiftkey
A SwiftKey, amely nemrég vált ingyenes alkalmazássá, egy nagyon népszerű, harmadik féltől származó billentyűzet, amelyet gyakran dicsérnek az előrejelzési algoritmusáért, amely képes megjósolni a következő szót. Ennek azonban van költsége az engedélyek használatában? Ismét kibővítettem ezt a listát, amelyet a Play Áruház webes felülete görgetett össze, így az összes engedélyt egyszerre láthatja.
Gyors pillantásra úgy tűnik, hogy a SwiftKey engedélyei tekintetében meglehetősen hasonló a Google billentyűzetéhez. Az alkalmazáson belüli vásárlások hozzáadása annak köszönhető, hogy a közelmúltban ingyenes alkalmazásként (nem pedig előre fizető alkalmazásként) indult újra, és nem jelent különösebb aggodalmat az adatvédelem szempontjából.
Az első különbség az, hogy a SwiftKey hozzáféréssel rendelkezik SMS és MMS üzenetek olvasásához. Ez logikus, mivel a SwiftKey rendelkezik azzal a funkcióval, hogy megtanulja a nyelvi mintákat az üzenetekből. Sajnos, mivel a SwiftKey egy zárt forráskódú alkalmazás (mint például a Google Keyboard), nehéz megmondani pontosan mit csinálnak ezekkel az adatokkal – több nyílt forráskódú, jó minőségű, billentyűzetválasztásra mindenképpen szükség van piac!
Egy másik különbség az, hogy a SwiftKey igényli a hírhedt "READ_PHONE_STATE" engedélyt. Ez hozzáférést biztosít az Ön IMEI-, IMSI- és SIMID-azonosítóihoz, valamint telefonszámaihoz, valamint a hívások során a másik fél adatait (beleértve a telefonszámát is). Ezen a ponton tényleg nem tudok mit hozzátenni ahhoz, hogy a SwiftKey-nek miért lehet szüksége ezekre az adatokra. Természetesen minden Android 1.5-tel kompatibilis alkalmazás használja ezt az engedélyt, mivel akkor még nem volt erre külön engedély. Az Android 1.5 azonban egy 2009-es ereklye, így nincs mentség arra, hogy ez ma is jelen legyen. Csak sejteni tudom, hogy a SwiftKey végtelen bölcsességében úgy döntött, hogy szeretné nyomon követni a felhasználókat, és ehhez egyedi hardverazonosítóval kell rendelkeznie, mint az IMEI. Sajnos bár a Google tiltja az IMEI használatát hirdetéskövetésre (a felhasználó által visszaállítható hirdetési azonosítójukat akarják helyette használni), nem rendelkeznek az eszközazonosítók használatának általános tilalma, amelyek segítségével nyomon követhető az alkalmazások közötti használat, és tartós eszközt biztosítanak az Ön azonosítására jövő.
A SwiftKey ismét teljes internet-hozzáférést kínált, az engedélyt az "egyéb" részben rejtették el. Én vagyok az egyetlen, akit némileg aggaszt, hogy a SwiftKey teljes hozzáféréssel rendelkezik az internethez, valamint az összeshez? az egyéb adatokról, amelyekhez hozzáfér (például SMS-ek, személyazonossági adatai és fiókjai, és IMEI)?
Következtetés
Két népszerű billentyűzet engedélyeinek rövid áttekintéséből egyértelműen kiderül – az egyik a Google sajátja, a másik pedig SwiftKey – hogy van néhány fontos kérdés, amelyet fel kell tenni az engedélyek „biztonságérzékeny” Androidban való használatával kapcsolatban alkalmazások. Az Apple iOS 8 a következő kiadásban harmadik féltől származó billentyűzeteket kíván bevezetni, amelyekhez nem lesz elérhető internet-hozzáférés. ezek az alkalmazások alapértelmezés szerint, és lehetőség a felhasználó számára, hogy megtagadja a billentyűzet hozzáférését az internethez, ha kéri azt.
Androidon a részvényfelhasználók nem rendelkeznek ezzel a lehetőséggel. Szerencsére, ha rootolt felhasználó az Xposed Framework-et futtatja, az XPrivacy itt segít. A SwiftKey minden engedélyét letiltottam, kivéve a felhasználói szótárhoz és az SD-kártyámhoz való hozzáférést (ahol az adatait tárolja), és teljesen jól működik. Előfordulhat, hogy nem élvezem az internethez csatlakoztatott billentyűzet „előnyeit” (miért, az Android iránti szeretet miatt, miért akarja a billentyűzetem, hogy bejelentkezzek a G+-ba, hogy „felhő” funkciókat kapjak? Ez egy billentyűzet!!)
Nyilvánvaló, hogy a Play Áruház minden bizonnyal megpróbálja megnehezíteni az engedélyek áttekintését alkalmazások által használt, és a kategorizált engedélyek új módosításai teljesen különálló és jelentős kockázatokat jelentenek, mint én nemrég kiemelték. Talán itt az ideje, hogy a műszakilag hozzáértő felhasználók megálljanak, és számba vegyék, mit telepítettek telefonjukra, és milyen alkalmazásokban bíznak meg minden billentyűleütést. Elégedett-e azzal, hogy billentyűzete az Ön tudta nélkül fér hozzá az internethez? Tudtad, hogy ezt megteheti, amikor telepítette? Rengeteg kérdés, itt az ideje, hogy a felhasználók válaszokat kérjenek a fejlesztőktől, és átvegyék az irányítást saját magánéletük felett, mivel nyilvánvaló, hogy a Google-t és az alkalmazásfejlesztőket ez nem érdekli.