Qualche giorno fa, I ha scritto un articolo qui discutendo alcune modifiche nella gestione delle autorizzazioni di Google Play Store e come tali modifiche potrebbero comportare rischi negativi per la privacy degli utenti. I commenti su quell'articolo indicavano un'enorme preoccupazione da parte dei lettori riguardo al autorizzazioni utilizzate dalle applicazioni, molte delle quali cercano di utilizzare App Ops o XPrivacy per proteggersi loro stessi.
Oggi farò una piccola deviazione e esaminerò le autorizzazioni necessarie per due app popolari: la tastiera proprietaria di Google e SwiftKey. Entrambe sono applicazioni per tastiera ed entrambe sono disponibili per il download gratuito sul Play Store (quest'ultimo ora è "freemium" con temi a pagamento disponibili).
Nonostante queste applicazioni abbiano accesso diretto a ogni tasto che premi, inserendo ogni URL che visiti, inviandoti messaggi di testo o e-mail send e la password digitata, sembra che poche persone considerino effettivamente le autorizzazioni utilizzate dalla propria tastiera e le implicazioni di Questo.
Tastiera Google
Diamo un'occhiata alla tastiera di Google. Tieni presente che ho dovuto modificare l'immagine seguente, poiché l'interfaccia web del Play Store fa del suo meglio per impedirti di visualizzare l'elenco completo di permessi in una visualizzazione. Anche con un monitor da 20" in orientamento verticale, ha comunque scelto di nasconderne la maggior parte all'interno di questo scorrimento visualizzazione. Per il tuo piacere di visualizzazione, tuttavia, ho riunito l'elenco in un'unica visualizzazione.
Diamo un'occhiata a cosa sta succedendo qui. Innanzitutto, Google Keyboard ha accesso alla tua scheda contatto e agli account sul tuo dispositivo. Ciò significa che ha la capacità di sapere chi sei e tutti gli account e-mail (e altri) che hai disponibili sul tuo dispositivo. Ciò significa che è possibile per loro vedere quali account Google/Dropbox/Twitter/Microsoft Exchange/Facebook hai a disposizione sul tuo telefono. Non ho assolutamente idea del motivo per cui ciò sia necessario, né del motivo per cui le persone siano disposte a fornire queste informazioni.
Successivamente, l'app può leggere i tuoi contatti. È abbastanza giusto: Google ovviamente vuole aggiungere i nomi dei tuoi contatti al correttore ortografico e ai database di completamento automatico. Questo ha senso ed è qualcosa di giustificabile per una tastiera. La possibilità di modificare o eliminare il contenuto dell'archivio USB è alquanto strana, ma consente l'accesso a tutti i tuoi dati memorizzati sulla tua "scheda SD", sfortunatamente non esiste un modo reale per farlo in modo più granulare modo. Idealmente, Google utilizzerebbe solo il servizio sicuro /data/data spazio di archiviazione e quindi non ne avrei bisogno. In alternativa, potrebbero utilizzare i contenitori ASEC per ottenere in modo trasparente più spazio di archiviazione sulla scheda SD, senza richiedere alcun accesso ai file personali sulla scheda SD.
La possibilità di scaricare file senza notifica è il punto in cui inizia a diventare davvero preoccupante: tieni presente che queste autorizzazioni sono nascoste in fondo all'elenco, quindi devi scorrere per raggiungerle loro. Il motivo per cui una tastiera necessita della capacità non solo di scaricare file, ma di farlo senza dirlo all'utente, è certamente preoccupante. Quanti dati ha davvero bisogno di scaricare senza dirtelo?
La possibilità di eseguire all'avvio va bene. Questo è qualcosa che ti aspetteresti ragionevolmente da un'applicazione per tastiera. Nascosto, invece, subito dopo il permesso forse più innocuo, è quello più invasivo: accesso completo a Internet.
Sì, è vero, Google Keyboard ha accesso completo e illimitato a Internet, nonché alle sequenze di tasti, ai contatti, ai contenuti della scheda SD e all'identità. E il nostro elenco di autorizzazioni dice immediatamente che Google Keyboard può utilizzare la tua tastiera in modo innocuo. Qualcuno pensa che ci sia un po' di "nascondere" le cattive autorizzazioni in corso qui?
Le due autorizzazioni successive sono innocue e consentono nuovamente l'accesso al dizionario personalizzato dell'utente, totalmente previsto da un'applicazione da tastiera. Infine, viene richiesta l'autorizzazione per visualizzare le connessioni di rete. Ancora una volta non posso offrire alcuna spiegazione sul motivo per cui ce n'è bisogno, se non per facilitare le altre autorizzazioni esistenti per l'accesso a Internet a tua insaputa.
Come tastiera, l'offerta di Google è ironicamente piuttosto ben dotata di permessi. In effetti, a questo punto, pensavo che sarebbe stato difficile trovare una tastiera che tenesse ancora meno in considerazione la privacy dell'utente nella selezione delle autorizzazioni. Sfortunatamente, mi sbagliavo.
Tasto rapido
SwiftKey, recentemente diventata un'applicazione gratuita, è una tastiera di terze parti molto popolare, spesso lodata per il suo algoritmo di previsione in grado di prevedere la parola successiva che utilizzerai. Ciò ha un costo, tuttavia, nell'uso delle autorizzazioni? Ancora una volta, ho ampliato questo elenco, che era stato raggruppato dall'interfaccia web del Play Store, in un elenco a scorrimento, in modo che tu possa vedere tutte le autorizzazioni contemporaneamente.
A prima vista, SwiftKey sembra essere abbastanza simile nella selezione delle autorizzazioni a Google Keyboard. L'aggiunta degli acquisti in-app è dovuta al suo recente rilancio come app gratuita (piuttosto che come app con pagamento anticipato) e non è di grande preoccupazione per la privacy.
La nostra prima differenza è che SwiftKey ha accesso alla lettura di messaggi SMS e MMS. Ciò ha senso, dato che SwiftKey ha una funzione per apprendere modelli linguistici dai messaggi. Sfortunatamente, dato che SwiftKey è un'applicazione closed source (come Google Keyboard), è difficile dirlo esattamente cosa viene fatto con questi dati: sono sicuramente necessarie più scelte di tastiera open source e di alta qualità mercato!
Un'altra differenza è che SwiftKey rivendica la famigerata autorizzazione "READ_PHONE_STATE". Ciò dà accesso ai tuoi identificatori IMEI, IMSI e SIMID, nonché ai numeri di telefonoe i dettagli dell'interlocutore in qualsiasi chiamata (compreso il suo numero di telefono). A questo punto, non riesco davvero a pensare a nulla da aggiungere sul motivo per cui SwiftKey potrebbe aver bisogno di questi dati. Certo, tutte le app compatibili con Android 1.5 vengono visualizzate come se utilizzassero questa autorizzazione, poiché a quel tempo non esisteva un'autorizzazione dedicata per questo. Android 1.5 è una reliquia del 2009, quindi non ci sono scuse per cui sia presente oggi. Posso solo supporre che SwiftKey, nella sua infinita saggezza, abbia deciso che vorrebbe essere in grado di tracciare i propri utenti e che per farlo avesse bisogno di un identificatore hardware univoco come l'IMEI. Sfortunatamente, anche se Google proibisce l'uso dell'IMEI per il monitoraggio della pubblicità (vogliono invece che venga utilizzato il loro ID pubblicitario ripristinabile dall'utente), non dispone di un divieto generale dell'uso di identificatori di dispositivo in generale, che possono essere utilizzati per tracciare il tuo utilizzo tra le applicazioni e fornire un mezzo persistente per identificarti in futuro.
Ancora una volta, SwiftKey prevedeva l'accesso completo a Internet, un'autorizzazione nascosta nella sezione "altro". Sono l'unico un po' preoccupato che SwiftKey abbia pieno accesso a Internet, oltre a tutto degli altri dati a cui accede (come messaggi SMS, dettagli della tua identità e account e IMEI)?
Conclusione
È chiaro anche solo da un breve sguardo alle autorizzazioni di due tastiere popolari: una di Google e l'altra SwiftKey: ci sono alcune domande importanti da porre sull'uso delle autorizzazioni in Android "sensibile alla sicurezza". applicazioni. iOS 8 di Apple intende introdurre tastiere di terze parti nella prossima versione, senza accesso a Internet disponibile queste applicazioni per impostazione predefinita e la possibilità per l'utente di negare alla tastiera l'accesso a Internet se richiesto Esso.
Su Android, gli utenti stock non hanno questa opzione. Fortunatamente, se sei un utente rooted che esegue Xposed Framework, XPrivacy ti aiuta qui. Ho bloccato ogni autorizzazione di SwiftKey, ad eccezione dell'accesso al dizionario utente e alla scheda SD (dove memorizza i dati), e funziona perfettamente. Potrei non ottenere i "vantaggi" di una tastiera connessa a Internet (perché, per l'amor di tutto ciò che è Android, la mia tastiera vuole che io acceda a G+ per ottenere funzionalità "cloud"? È una tastiera!!)
È chiaro che il Play Store sta sicuramente cercando di rendere difficile vedere quali sono le autorizzazioni utilizzato dalle app e le nuove modifiche alle autorizzazioni categorizzate pongono rischi completamente separati e significativi, come IO evidenziato di recente. Forse è giunto il momento che gli utenti tecnicamente esperti si fermino e facciano il punto su ciò che hanno installato sul proprio telefono e su quali app si fidano di tutte le loro sequenze di tasti. Sei soddisfatto che la tua tastiera acceda a Internet a tua insaputa? Sapevi che poteva farlo quando l'hai installato? Ci sono molte domande, è tempo che gli utenti chiedano risposte agli sviluppatori e assumano il controllo della propria privacy, poiché è chiaro che Google e gli sviluppatori di app non sono interessati a farlo.