לפני כמה ימים, אני כתב כאן מאמר דנים בכמה שינויים בטיפול בהרשאות של חנות Google Play, וכיצד לשינויים אלה עלולים להיות סיכוני פרטיות שליליים עבור המשתמשים. ההערות למאמר הצביעו על כמות עצומה של דאגה מצד הקוראים באשר ל הרשאות בשימוש על ידי יישומים, כאשר רבים מחפשים להשתמש ב-App Ops או ב-XPrivacy כדי להגן עצמם.
היום, אני הולך לעשות מעקף קל ולהסתכל על ההרשאות הדרושות לשתי אפליקציות פופולריות: מקלדת הצד הראשונה של גוגל ו- SwiftKey. שני אלה הם יישומי מקלדת, ושניהם זמינים להורדה בחינם בחנות Play (האחרונה היא כעת "freemium" עם ערכות נושא בתשלום זמינות).
למרות שלאפליקציות הללו יש גישה ישירה לכל מקש שאתה לוחץ עליו, בהזנת כל כתובת אתר שאתה מבקר בה, הודעת טקסט או דוא"ל שלח, וסיסמה שאתה מקליד, נראה שמעט אנשים באמת מתחשבים בהרשאות המשמשות את המקלדת שלהם, ואת ההשלכות של זֶה.
מקלדת גוגל
בואו נסתכל על המקלדת של גוגל. שים לב שהייתי צריך לערוך את התמונה למטה, מכיוון שממשק האינטרנט של חנות Play עושה כמיטב יכולתו למנוע ממך לראות את הרשימה המלאה של הרשאות בתצוגה אחת, אפילו עם צג 20 אינץ' בכיוון אנכי, הוא עדיין בחר להסתיר את רובן בתוך הגלילה הזו נוף. עם זאת, להנאת הצפייה שלך, ריכזתי את הרשימה לתצוגה אחת.
בואו נסתכל על מה שקורה כאן. ראשית, למקלדת Google יש גישה לכרטיס איש קשר משלך ולחשבונות במכשיר שלך. המשמעות היא שיש לו את היכולת לדעת מי אתה, ואת כל חשבונות הדוא"ל (ואחרים) שיש לך במכשיר שלך. זה אומר שזה אפשרי עבורם לראות אילו חשבונות Google/Dropbox/Twitter/Microsoft Exchange/Facebook זמינים לך בטלפון שלך. אין לי מושג למה זה נחוץ, וגם לא למה אנשים מוכנים למסור את המידע הזה.
בשלב הבא, האפליקציה יכולה לקרוא את אנשי הקשר שלך. זה די הוגן - ברור שגוגל רוצה להוסיף את שמות אנשי הקשר שלך לבודק האיות ולהשלמה אוטומטית. זה הגיוני, וזה משהו מוצדק עבור מקלדת. היכולת לשנות או למחוק את התוכן של אחסון USB היא קצת מוזרה, אבל למרות שהיא מאפשרת גישה לכל הנתונים שלך המאוחסנים ב"כרטיס ה-SD שלך", למרבה הצער, אין דרך אמיתית לעשות זאת בצורה יותר מפורטת דֶרֶך. באופן אידיאלי, גוגל תשתמש רק במאובטח /data/data אחסון, ולכן לא היה צריך את זה. לחלופין, הם יכולים להשתמש במכולות ASEC כדי לקבל בשקיפות יותר שטח אחסון בכרטיס ה-SD שלך, מבלי לדרוש כל גישה לקבצי האישיות שלך בכרטיס ה-SD.
היכולת להוריד קבצים ללא הודעה היא המקום שבו היא מתחילה להתייחס כראוי - שים לב שההרשאות האלה חבויות בתחתית הרשימה, אז עליך לגלול כדי להגיע אוֹתָם. למה מקלדת צריכה את היכולת לא רק להוריד קבצים, אלא לעשות זאת מבלי לספר למשתמש, זה בהחלט מדאיג. כמה נתונים באמת צריך להוריד בלי להגיד לך?
היכולת לרוץ בעת ההפעלה היא בסדר. זה משהו שאתה סביר לצפות מיישום מקלדת. מצד שני, חבוי, מיד אחרי אולי ההרשאה התמימה ביותר, הוא הפולשני ביותר: גישה מלאה לאינטרנט.
כן, זה נכון, למקלדת גוגל יש גישה מלאה ובלתי מוגבלת לאינטרנט, כמו גם הקשות שלך, ואנשי הקשר, ותכולת כרטיס ה-SD והזהות שלך. ורשימת ההרשאות שלנו מקפצת מיד ואומרת שמקלדת Google יכולה להשתמש ללא מזיק במקלדת שלך. מישהו חושב שיש כאן קצת "להסתיר" את ההרשאות המגעילות?
שתי ההרשאות הבאות אינן מזיקות, ומאפשרות שוב גישה למילון המותאם אישית של המשתמש, המצופה לחלוטין מאפליקציית מקלדת. לבסוף, הרשאה לצפות בחיבורי רשת מתבקשת. אני שוב לא יכול להציע שום תובנה מדוע יש צורך בכך, מלבד להקל על ההרשאות הקיימות האחרות לגישה לאינטרנט ללא ידיעתך.
כמקלדת, ההצעה של גוגל למרבה האירוניה מצוינת בהרשאות. ואכן, בשלב זה, חשבתי שיהיה קשה למצוא מקלדת עם פחות התייחסות לפרטיות המשתמש בבחירת ההרשאות שלה. לצערי, טעיתי.
מקש סוויפט
SwiftKey, שהפכה לאחרונה לאפליקציה חינמית, היא מקלדת צד שלישי פופולרית מאוד, שזכתה לעתים קרובות לשבחים על כך שהאלגוריתם לחיזוי שלה מסוגל לחזות את המילה הבאה שבה תשתמש. עם זאת, זה גובה מחיר בשימוש בהרשאות? שוב, הרחבתי את הרשימה הזו, שגולגלה על ידי ממשק האינטרנט של חנות Play לרשימה גלילה, כך שתוכל לראות את כל ההרשאות בבת אחת.
במבט מהיר נראה ש- SwiftKey דומה למדי בבחירת ההרשאות שלו למקלדת Google. התוספת של רכישות בתוך האפליקציה נובעת מהשקתה מחדש לאחרונה כאפליקציה חינמית (ולא כאפליקציה בתשלום מראש), ואינה מדאיגה במיוחד את הפרטיות.
ההבדל הראשון שלנו הוא של- SwiftKey יש גישה לקריאת הודעות SMS ו-MMS. זה הגיוני, בהתחשב ב- SwiftKey יש תכונה ללמוד דפוסי שפה מהודעות. למרבה הצער, בהתחשב בכך ש-SwiftKey היא יישום קוד סגור (כמו מקלדת גוגל), קשה לדעת בדיוק מה נעשה עם הנתונים האלה - בהחלט נחוצות אפשרויות מקלדת יותר בקוד פתוח, באיכות גבוהה שׁוּק!
הבדל נוסף הוא ש- SwiftKey טוענת להרשאת "READ_PHONE_STATE" הידועה לשמצה. זה נותן גישה למזהי IMEI, IMSI ו- SIMID שלך, כמו גם למספרי טלפון, ופרטי הצד השני בכל שיחות (כולל מספר הטלפון שלו). בשלב זה, אני באמת לא יכול לחשוב על משהו להוסיף כאן מדוע SwiftKey עשוי להזדקק לנתונים האלה. בטח, כל האפליקציות התואמות לאנדרואיד 1.5 מוצגות כמשתמשות בהרשאה זו, מכיוון שלא הייתה הרשאה ייעודית לכך באותו זמן. עם זאת, אנדרואיד 1.5 הוא שריד משנת 2009, כך שאין שום תירוץ לכך שזה קיים היום. אני יכול רק לשער ש- SwiftKey, בחוכמה האינסופית שלהם, החליטו שהם רוצים להיות מסוגלים לעקוב אחר המשתמשים שלהם, וצריכים להיות להם מזהה חומרה ייחודי כמו IMEI כדי לעשות זאת. למרבה הצער בעוד שגוגל אוסרת את השימוש ב-IMEI למעקב אחר פרסומות (הם רוצים להשתמש במזהה הפרסום הניתן לאיפוס על ידי המשתמש במקום זאת), אין להם איסור גורף על שימוש במזהי מכשירים באופן כללי, שניתן להשתמש בהם כדי לעקוב אחר השימוש שלך בין אפליקציות, ולספק אמצעי מתמשך לזהות אותך ב עתיד.
שוב, SwiftKey כללה גישה מלאה לאינטרנט, הרשאה סמויה בקטע "אחר". האם אני היחיד שקצת מודאג מכך של- SwiftKey יש גישה מלאה לאינטרנט, כמו גם לכל של הנתונים האחרים שהוא ניגש אליו (כגון הודעות SMS, פרטי הזהות והחשבונות שלך, וכן IMEI)?
סיכום
זה ברור רק ממבט קצר על ההרשאות של שתי מקלדות פופולריות - אחת משלה של גוגל ואחת היא SwiftKey - שיש כמה שאלות חשובות שיש לשאול לגבי השימוש בהרשאות באנדרואיד "רגיש לאבטחה" יישומים. iOS 8 של אפל מתכוונת להציג מקלדות של צד שלישי במהדורה הקרובה, ללא גישה לאינטרנט זמינה עבור יישומים אלה כברירת מחדל, והזדמנות עבור המשתמש למנוע מהמקלדת גישה לאינטרנט אם יבקש זה.
ב-Android, למשתמשי מניות אין אפשרות זו. למרבה המזל, אם אתה משתמש שורשי המריץ את Xposed Framework, XPprivacy כן עוזר כאן. חסמתי כל הרשאה מ- SwiftKey, למעט גישה למילון המשתמש ולכרטיס ה-SD שלי (שם הוא מאחסן את הנתונים שלו), והוא פועל בסדר גמור. אולי לא אקבל את ה"יתרונות" של מקלדת המחוברת לאינטרנט (למה, למען אהבת כל מה שהוא אנדרואיד, המקלדת שלי רוצה שאכנס ל-G+ כדי לקבל תכונות "ענן"? זו מקלדת!!)
ברור שחנות Play בהחלט מנסה להקשות על הראות אילו הרשאות יש בשימוש על ידי אפליקציות, והשינויים החדשים בהרשאות מסווגות מהווים סיכונים נפרדים ומשמעותיים לחלוטין, כמו אני הודגש לאחרונה. אולי הגיע הזמן למשתמשים בעלי ידע טכני לעצור ולעשות חשבון נפש מה הם התקינו בטלפון שלהם, ועל אילו אפליקציות הם סומכים על כל הקשות המקשים שלהם. האם אתה מרוצה מכך שהמקלדת שלך ניגשת לאינטרנט ללא ידיעתך? האם ידעת שהוא יכול לעשות את זה כשהתקנת אותו? הרבה שאלות, הגיע הזמן שמשתמשים ידרשו תשובות מהמפתחים, וייקחו שליטה על הפרטיות שלהם, שכן ברור שגוגל ומפתחי אפליקציות לא מעוניינים לעשות זאת.