数日前、私は ここに記事を書きました Google Play ストアの権限処理の一部の変更と、これらの変更がユーザーにどのようなプライバシー リスクをもたらす可能性があるかについて説明します。 その記事へのコメントは、読者からの圧倒的な懸念を示していました。 アプリケーションによって使用される権限。多くは保護のために App Ops または XPrivacy の使用を検討しています。 彼ら自身。
今日は少し寄り道をして、2 つの人気のあるアプリ、Google のファーストパーティ キーボードと SwiftKey に必要な権限を見ていきます。 これらはどちらもキーボード アプリケーションで、Play ストアから無料でダウンロードできます (後者は現在「フリーミアム」であり、有料テーマも利用できます)。
これらのアプリケーションは、訪問するすべての URL、テキスト メッセージ、または電子メールを入力する際に、押すすべてのキーに直接アクセスできるにもかかわらず、 送信、および入力するパスワードについて、キーボードで使用されるアクセス許可とその影響を実際に考慮している人はほとんどいないようです。 これ。
Googleキーボード
Googleのキーボードを見てみましょう。 Play ストアの Web インターフェイスでは完全なリストが表示されないように最善を尽くしているため、以下の画像を編集する必要があることに注意してください。 1 つのビューに多数の権限が表示されます。20 インチ モニターを縦向きにしても、スクロール内でほとんどの権限が非表示になります。 ビュー。 ただし、見て楽しんでいただくために、リストを 1 つのビューにまとめました。
ここで何が起こっているのか見てみましょう。 まず、Google キーボードは自分の連絡先カードとデバイス上のアカウントにアクセスできます。 これは、あなたが誰であるか、そしてあなたのデバイスで利用可能なすべての電子メール (およびその他の) アカウントを知ることができることを意味します。 つまり、ユーザーが携帯電話で使用できる Google/Dropbox/Twitter/Microsoft Exchange/Facebook アカウントを確認できる可能性があります。 なぜこれが必要なのか、なぜ人々がこの情報を喜んで提供するのか全くわかりません。
次に、アプリは連絡先を読み取ることができます。 それは当然のことです。Google があなたの連絡先名をスペルチェッカーとオートコンプリートのデータベースに追加したいと考えているのは明らかです。 これは当然のことであり、キーボードにとっては正当なことです。 USB ストレージの内容を変更または削除する機能は少し奇妙ですが、アクセスは許可されます。 「SD カード」に保存されているすべてのデータに対して、これ以上詳細にこれを行う実際の方法は残念ながらありません。 方法。 理想的には、Google は安全な情報のみを使用します。 /data/data ストレージなので、これは必要ありません。 あるいは、ASEC コンテナを使用して、SD カード上の個人ファイルへのアクセスを必要とせずに、SD カード上のより多くのストレージ領域を透過的に取得する可能性があります。
通知なしでファイルをダウンロードする機能は、適切に機能し始めるところです - これらの権限はリストの一番下に隠れているため、アクセスするにはスクロールする必要があることに注意してください。 彼ら。 ファイルをダウンロードするだけでなく、ユーザーに通知することなくダウンロードする機能がキーボードに必要な理由は、確かに心配です。 実際に何も言わずにダウンロードする必要があるデータ量はどれくらいですか?
起動時に実行できる機能は問題ありません。 これはキーボード アプリケーションに当然期待されることです。 一方で、おそらく最も無害な許可の直後に隠れた場所では、最も侵入的になります。 完全なインターネット アクセス.
はい、その通りです。Google キーボードは、キーストローク、連絡先、SD カードの内容、ID だけでなく、インターネットにも完全かつ自由にアクセスできます。 そして、私たちの許可リストは、Google キーボードがあなたのキーボードを無害に使用できるとすぐに述べています。 ここで厄介な権限が少し「隠蔽」されていると思う人はいますか?
次の 2 つの権限は無害で、キーボード アプリケーションから完全に期待される、ユーザーのカスタム辞書へのアクセスを再度許可します。 最後に、ネットワーク接続を表示する許可が要求されます。 繰り返しになりますが、ユーザーの知らないうちにインターネットにアクセスするための他の既存の許可を容易にする以外に、なぜこれが必要なのかについて洞察を提供することはできません。
キーボードとして、Google の製品には皮肉なことにかなり権限が与えられています。 実際、この時点では、権限の選択においてユーザーのプライバシーをさらに考慮していないキーボードを見つけるのは難しいだろうと考えていました。 残念ながら、私は間違っていました。
スイフトキー
最近無料アプリケーションになった SwiftKey は非常に人気のあるサードパーティ製キーボードで、次に使用する単語を予測できる予測アルゴリズムがよく称賛されています。 ただし、権限の使用にはコストがかかりますか? もう一度、Play ストア Web インターフェイスによってスクロール リストにまとめられたこのリストを展開して、すべての権限を一度に確認できるようにしました。
ざっと見たところ、SwiftKey は権限の選択において Google キーボードとかなり似ているように見えます。 アプリ内購入の追加は、(前払いアプリではなく)無料アプリとして最近再起動されたためであり、プライバシーへの大きな懸念はありません。
最初の違いは、SwiftKey が SMS および MMS メッセージを読み取るアクセス権を持っていることです。 SwiftKey にはメッセージから言語パターンを学習する機能があることを考えると、これは当然のことです。 残念ながら、SwiftKey がクローズド ソース アプリケーション (Google キーボードなど) であることを考えると、それを見分けるのは困難です。 まさにこのデータを使って何が行われるのか -- より多くのオープンソース、高品質、キーボードの選択肢が間違いなく必要とされています。 市場!
もう 1 つの違いは、SwiftKey が悪名高い「READ_PHONE_STATE」権限を要求していることです。 これにより、電話番号だけでなく、IMEI、IMSI、SIMID 識別子にもアクセスできるようになります。、通話の相手の詳細 (電話番号を含む)。 現時点では、SwiftKey がこのデータを必要とする理由についてここで付け加えることは何も思いつきません。 確かに、当時はこれ専用の権限がなかったため、Android 1.5 と互換性のあるすべてのアプリはこの権限を使用しているように表示されます。 ただし、Android 1.5 は 2009 年の遺物であるため、これが現在存在することには言い訳ができません。 SwiftKey はその無限の知恵によって、ユーザーを追跡できるようにしたいと判断し、そのためには IMEI のような一意のハードウェア識別子が必要だと推測することしかできません。 残念ながら、Google は広告追跡に IMEI を使用することを禁止していますが (代わりにユーザーがリセット可能な広告 ID を使用することを望んでいます)、Google には IMEI がありません。 一般にデバイス識別子の使用を全面的に禁止します。デバイス識別子は、アプリケーション間での使用状況を追跡するために使用され、ユーザーを識別する永続的な手段を提供します。 未来。
もう一度言いますが、SwiftKey は完全なインターネット アクセスを備えており、許可は「その他」セクションに隠されていました。 SwiftKey がインターネットに完全にアクセスできるのではないかと若干懸念しているのは私だけでしょうか。 アクセスしている他のデータ (SMS メッセージ、ID の詳細やアカウントなど) IMEI)?
結論
それは、2 つの人気のあるキーボードの権限をざっと見ただけで明らかです。1 つは Google 独自のもので、もう 1 つは Google 製です。 SwiftKey -- 「セキュリティに敏感な」Android でのアクセス許可の使用については、いくつかの重要な疑問があるとのこと アプリケーション。 Apple の iOS 8 は次期リリースでサードパーティ製キーボードを導入する予定であり、インターネット アクセスは利用できません。 これらのアプリケーションはデフォルトで許可され、ユーザーの要求に応じてインターネットへのキーボード アクセスを拒否する機会も与えられます。 それ。
Android では、ストック ユーザーにはこのオプションがありません。 幸いなことに、あなたが Xused Framework を実行している root ユーザーであれば、XPrivacy がここで役に立ちます。 ユーザー辞書と SD カード (データの保存場所) へのアクセスを除いて、SwiftKey からのすべての権限をブロックしましたが、まったく問題なく動作します。 インターネットに接続されたキーボードの「利点」は得られないかもしれません (Android を愛してやまないのに、なぜ私のキーボードは「クラウド」機能を利用するために G+ へのサインインを要求するのでしょうか? キーボードだよ!!)
Play ストアがどのような権限が付与されているかを分かりにくくしようとしているのは明らかです。 アプリによって使用され、分類された権限に対する新たな変更は、まったく別個の重大なリスクをもたらします。 私 最近ハイライトされた. おそらく、技術に精通したユーザーが立ち止まって、自分の携帯電話に何をインストールしているのか、そしてどのアプリをすべてのキー入力に信頼しているのかを見直してみる時期が来ているのかもしれません。 キーボードが知らないうちにインターネットにアクセスすることに満足していますか? インストールしたときにそれができることを知っていましたか? 多くの質問がありますが、Google とアプリ開発者がこれに興味がないことは明らかなので、ユーザーが開発者に回答を要求し、自分のプライバシーを管理する時期が来ています。