Beberapa hari yang lalu, saya menulis artikel di sini membahas beberapa perubahan dalam penanganan izin Google Play Store, dan bagaimana perubahan ini dapat menimbulkan risiko privasi yang merugikan bagi pengguna. Komentar pada artikel tersebut menunjukkan betapa besarnya kekhawatiran pembaca terhadap artikel tersebut izin digunakan oleh aplikasi, dan banyak yang ingin menggunakan App Ops atau XPrivacy untuk melindunginya diri.
Hari ini, saya akan mengambil sedikit jalan memutar dan melihat izin yang diperlukan oleh dua aplikasi populer: keyboard pihak pertama Google, dan SwiftKey. Keduanya adalah aplikasi keyboard, dan keduanya tersedia untuk diunduh secara gratis di Play Store (yang terakhir sekarang menjadi "freemium" dengan tersedia tema berbayar).
Meskipun aplikasi ini memiliki akses langsung ke setiap tombol yang Anda tekan, dalam memasukkan setiap URL yang Anda kunjungi, pesan teks atau Email Anda kirim, dan kata sandi yang Anda ketik, tampaknya hanya sedikit orang yang benar-benar mempertimbangkan izin yang digunakan oleh keyboard mereka, dan implikasinya ini.
Papan Ketik Google
Mari kita lihat keyboard Google. Perhatikan bahwa saya harus mengedit gambar di bawah ini, karena antarmuka web Play Store melakukan yang terbaik untuk mencegah Anda melihat daftar lengkap izin dalam satu tampilan, Bahkan dengan monitor 20" dalam orientasi vertikal, ia masih memilih untuk menyembunyikan sebagian besar izin dalam pengguliran ini melihat. Namun demi kesenangan menonton Anda, saya telah menyatukan daftar tersebut menjadi satu tampilan.
Mari kita lihat apa yang terjadi di sini. Pertama, Google Keyboard memiliki akses ke kartu kontak Anda sendiri, dan akun di perangkat Anda. Artinya, ia memiliki kemampuan untuk mengetahui siapa Anda, dan semua akun Email (dan akun lainnya) yang Anda miliki di perangkat Anda. Artinya, mereka dapat melihat akun Google/Dropbox/Twitter/Microsoft Exchange/Facebook yang Anda miliki di ponsel Anda. Saya sama sekali tidak tahu mengapa hal ini diperlukan, atau mengapa orang bersedia memberikan informasi ini.
Selanjutnya, aplikasi dapat membaca kontak Anda. Itu cukup adil--Google jelas ingin menambahkan nama kontak Anda ke database pemeriksa ejaan dan pelengkapan otomatis. Ini masuk akal, dan merupakan sesuatu yang dapat dibenarkan untuk sebuah keyboard. Kemampuan untuk mengubah atau menghapus konten penyimpanan USB agak aneh, namun tetap mengizinkan akses untuk semua data yang tersimpan di "kartu SD" Anda, sayangnya tidak ada cara nyata untuk melakukan hal ini secara lebih terperinci jalan. Idealnya, Google hanya menggunakan yang aman /data/data penyimpanan, dan karena itu tidak memerlukan ini. Alternatifnya, mereka dapat menggunakan wadah ASEC untuk secara transparan mendapatkan lebih banyak ruang penyimpanan di kartu SD Anda, tanpa memerlukan akses apa pun ke file persona Anda di kartu SD.
Kemampuan untuk mengunduh file tanpa pemberitahuan adalah hal yang mulai menjadi perhatian - perhatikan bahwa izin ini terletak di bagian bawah daftar, jadi Anda harus menggulir untuk mencapainya mereka. Alasan mengapa keyboard memerlukan kemampuan untuk tidak hanya mengunduh file, namun melakukannya tanpa memberi tahu pengguna, tentu saja mengkhawatirkan. Berapa banyak data yang perlu diunduh tanpa memberi tahu Anda?
Kemampuan untuk dijalankan saat startup baik-baik saja. Itu adalah sesuatu yang wajar Anda harapkan dari aplikasi papan ketik. Di sisi lain, bersembunyi, mungkin tepat setelah izin yang paling tidak berbahaya, adalah yang paling invasif: akses Internet penuh.
Ya, benar, Google Keyboard memiliki akses penuh dan tidak terbatas ke Internet, serta penekanan tombol, kontak, konten kartu SD, dan identitas Anda. Dan daftar izin kami langsung mengatakan bahwa Google Keyboard dapat menggunakan keyboard Anda tanpa membahayakan. Adakah yang mengira ada sedikit "menyembunyikan" izin buruk yang terjadi di sini?
Dua izin berikutnya tidak berbahaya, dan sekali lagi memungkinkan akses ke kamus khusus pengguna, yang sepenuhnya diharapkan dari aplikasi keyboard. Terakhir, izin untuk melihat koneksi jaringan diminta. Saya sekali lagi tidak dapat memberikan penjelasan mengapa hal ini diperlukan, selain untuk memfasilitasi izin lain yang ada untuk mengakses Internet tanpa sepengetahuan Anda.
Ironisnya, sebagai keyboard, penawaran Google cukup dilengkapi dengan izin. Memang benar, pada titik ini, saya pikir akan sulit untuk menemukan keyboard yang kurang memperhatikan privasi pengguna dalam pemilihan izinnya. Sayangnya, saya salah.
tombol cepat
SwiftKey, yang baru-baru ini menjadi aplikasi gratis, adalah papan ketik pihak ketiga yang sangat populer, sering dipuji karena algoritme prediksinya yang mampu memprediksi kata berikutnya yang akan Anda gunakan. Namun apakah hal ini memerlukan biaya dalam penggunaan izinnya? Sekali lagi, saya telah memperluas daftar ini, yang digulung oleh antarmuka web Play Store ke dalam daftar bergulir, sehingga Anda dapat melihat semua izin sekaligus.
Sekilas, SwiftKey tampak cukup mirip dalam pemilihan izinnya dengan Google Keyboard. Penambahan Pembelian Dalam Aplikasi disebabkan oleh peluncuran ulang baru-baru ini sebagai aplikasi gratis (bukan aplikasi berbayar di muka), dan tidak terlalu mengkhawatirkan privasi.
Perbedaan pertama kami adalah SwiftKey memiliki akses untuk membaca pesan SMS dan MMS. Hal ini masuk akal, mengingat SwiftKey memiliki fitur untuk mempelajari pola bahasa dari pesan. Sayangnya, mengingat SwiftKey adalah aplikasi sumber tertutup (seperti Google Keyboard), sulit untuk membedakannya persis apa yang dilakukan dengan data ini--lebih banyak sumber terbuka, kualitas tinggi, pilihan keyboard pasti diperlukan di dalamnya pasar!
Perbedaan lainnya adalah SwiftKey mengklaim izin "READ_PHONE_STATE" yang terkenal itu. Ini memberikan akses ke pengenal IMEI, IMSI, dan SIMID Anda, serta nomor telepon, dan detail pihak lain dalam panggilan apa pun (termasuk nomor teleponnya). Pada titik ini, saya benar-benar tidak dapat memikirkan apa pun untuk ditambahkan di sini tentang mengapa SwiftKey mungkin memerlukan data ini. Tentu, semua aplikasi yang kompatibel dengan Android 1.5 ditampilkan menggunakan izin ini, karena pada saat itu belum ada izin khusus untuk ini. Namun, Android 1.5 merupakan peninggalan tahun 2009, jadi tidak ada alasan untuk hadir saat ini. Saya hanya dapat menduga bahwa SwiftKey, dengan kebijaksanaannya yang tak terbatas, telah memutuskan bahwa mereka ingin dapat melacak penggunanya, dan perlu memiliki pengidentifikasi perangkat keras unik seperti IMEI untuk melakukannya. Sayangnya meskipun Google melarang penggunaan IMEI untuk pelacakan iklan (mereka ingin menggunakan ID iklan yang dapat disetel ulang oleh pengguna), mereka tidak memiliki izin larangan menyeluruh terhadap penggunaan pengenal perangkat secara umum, yang dapat digunakan untuk melacak penggunaan Anda antar aplikasi, dan menyediakan cara yang terus-menerus untuk mengidentifikasi Anda di masa depan.
Sekali lagi, SwiftKey menampilkan akses Internet penuh, izinnya terdapat di bagian "lainnya". Apakah saya satu-satunya yang agak khawatir bahwa SwiftKey memiliki akses penuh ke Internet, dan juga semuanya data lain yang diaksesnya (seperti pesan SMS, detail identitas dan akun Anda, dan IMEI)?
Kesimpulan
Hal ini terlihat jelas hanya dengan melihat sekilas izin dari dua keyboard populer--satu milik Google, dan satu lagi milik SwiftKey--bahwa ada beberapa pertanyaan besar yang harus ditanyakan tentang penggunaan izin di Android yang "sensitif terhadap keamanan". aplikasi. Apple iOS 8 bermaksud untuk memperkenalkan keyboard pihak ketiga pada rilis mendatang, tanpa tersedia akses Internet aplikasi ini secara default, dan peluang bagi pengguna untuk menolak akses keyboard ke internet jika diminta dia.
Di Android, pengguna stok tidak memiliki opsi ini. Untungnya, jika Anda adalah pengguna yang di-rooting dan menjalankan Xgged Framework, XPrivacy akan membantu dalam hal ini. Saya telah memblokir setiap izin dari SwiftKey, kecuali mengakses kamus pengguna dan kartu SD saya (tempat menyimpan datanya), dan berfungsi dengan baik. Saya mungkin tidak mendapatkan "kelebihan" dari keyboard yang terhubung ke Internet (mengapa, demi semua orang yang menyukai Android, keyboard saya ingin saya masuk ke G+ untuk mendapatkan fitur "cloud"? Itu papan ketik!!)
Jelas bahwa Play Store tentu berusaha mempersulit untuk melihat izin apa saja yang ada digunakan oleh aplikasi, dan perubahan baru pada izin yang dikategorikan menimbulkan risiko yang sepenuhnya terpisah dan signifikan, seperti SAYA disorot baru-baru ini. Mungkin sudah waktunya bagi pengguna yang paham teknologi untuk berhenti dan memeriksa apa yang telah mereka instal di ponsel mereka, dan aplikasi apa yang mereka percayai dengan semua penekanan tombol mereka. Apakah Anda senang dengan keyboard Anda mengakses Internet tanpa sepengetahuan Anda? Tahukah Anda bahwa ia bisa melakukan hal itu ketika Anda menginstalnya? Banyak sekali pertanyaan, sudah saatnya pengguna meminta jawaban dari pengembang, dan mengambil kendali atas privasi mereka sendiri, karena jelas Google dan pengembang aplikasi tidak tertarik melakukan hal tersebut.