რამდენიმე დღის წინ მე დაწერა სტატია აქ განიხილავს Google Play Store-ის ნებართვების დამუშავების ცვლილებებს და იმაზე, თუ როგორ შეიძლება ამ ცვლილებებმა გამოიწვიოს მომხმარებლებისთვის კონფიდენციალურობის უარყოფითი რისკები. ამ სტატიის კომენტარებმა მიუთითა მკითხველების დიდი შეშფოთება ნებართვები გამოიყენება აპლიკაციების მიერ, ბევრი ცდილობს გამოიყენოს App Ops ან XPrivacy დასაცავად საკუთარ თავს.
დღეს მე ვაპირებ ოდნავ შემოვლებას და გადავხედო ნებართვებს, რომლებიც საჭიროა ორი პოპულარული აპისთვის: Google-ის პირველი მხარის კლავიატურა და SwiftKey. ორივე ეს არის კლავიატურის აპლიკაციები და ორივე ხელმისაწვდომია უფასოდ ჩამოსატვირთად Play Store-ზე (ეს უკანასკნელი ახლა არის "freemium" გადახდის თემებით).
მიუხედავად იმისა, რომ ამ აპლიკაციებს აქვთ პირდაპირი წვდომა ყველა კლავიშზე, რომელსაც დააჭერთ, თქვენ მიერ მონახულებული URL-ის, ტექსტური შეტყობინების ან ელ. ფოსტის შეყვანისას გაგზავნეთ და აკრიფეთ პაროლი, როგორც ჩანს, რამდენიმე ადამიანი რეალურად ითვალისწინებს კლავიატურის მიერ გამოყენებულ ნებართვებს და მის შედეგებს ეს.
Google კლავიატურა
მოდით შევხედოთ Google-ის კლავიატურას. გაითვალისწინეთ, რომ მე მომიწია ქვემოთ მოცემული სურათის რედაქტირება, რადგან Play Store ვებ ინტერფეისი ყველაფერს აკეთებს იმისათვის, რომ არ ნახოთ სრული სია ნებართვების ერთ ხედში, თუნდაც 20 დიუმიანი მონიტორით ვერტიკალურ ორიენტაციაში, მან მაინც აირჩია მათი უმეტესობის დამალვა ამ გადახვევაში ხედი. თუმცა, თქვენი ნახვის სიამოვნებისთვის, სია შევკრიბე ერთ ხედში.
მოდით შევხედოთ რა ხდება აქ. პირველ რიგში, Google Keyboard-ს აქვს წვდომა თქვენს საკონტაქტო ბარათზე და თქვენს მოწყობილობაზე არსებულ ანგარიშებზე. ეს ნიშნავს, რომ მას აქვს უნარი იცოდეს ვინ ხარ და ელფოსტის (და სხვა) ყველა ანგარიში, რომელიც ხელმისაწვდომია თქვენს მოწყობილობაზე. ეს ნიშნავს, რომ მათ შეუძლიათ დაინახონ, თუ რომელი Google/Dropbox/ Twitter/Microsoft Exchange/Facebook ანგარიშები გაქვთ თქვენს ტელეფონზე. აბსოლუტურად წარმოდგენა არ მაქვს, რატომ არის ეს საჭირო და არც რატომ არიან ადამიანები მზად ამ ინფორმაციის გაცემაზე.
შემდეგი, აპს შეუძლია წაიკითხოს თქვენი კონტაქტები. ეს საკმარისად სამართლიანია - ცხადია, Google-ს სურს თქვენი კონტაქტების სახელების დამატება მართლწერის შემოწმებისა და ავტომატური შევსების მონაცემთა ბაზებში. ეს ლოგიკურია და არის რაღაც გამართლებული კლავიატურისთვის. USB მეხსიერების შინაარსის შეცვლის ან წაშლის შესაძლებლობა გარკვეულწილად უცნაურია, მაგრამ მიუხედავად იმისა, რომ ის იძლევა წვდომის საშუალებას თქვენს "SD ბარათზე" შენახული ყველა მონაცემისთვის, სამწუხაროდ, ამის გაკეთების რეალური გზა არ არსებობს უფრო დეტალურად გზა. იდეალურ შემთხვევაში, Google გამოიყენებდა მხოლოდ უსაფრთხოს /data/data შენახვა და, შესაბამისად, ეს არ დასჭირდება. ალტერნატიულად, მათ შეუძლიათ გამოიყენონ ASEC კონტეინერები, რათა გამჭვირვალედ მიიღონ მეტი ადგილი თქვენს SD ბარათზე, SD ბარათზე თქვენს პერსონალურ ფაილებზე წვდომის საჭიროების გარეშე.
ფაილების შეტყობინების გარეშე ჩამოტვირთვის შესაძლებლობა სწორედ აქ იწყება გაითვალისწინეთ, რომ ეს ნებართვები მოთავსებულია სიის ბოლოში, ასე რომ თქვენ უნდა გადახვიდეთ მის მისაღწევად მათ. რატომ სჭირდება კლავიატურას არა მხოლოდ ფაილების ჩამოტვირთვის შესაძლებლობა, არამედ ამის გაკეთება მომხმარებლის გარეშე, რა თქმა უნდა შემაშფოთებელია. რამდენი მონაცემი სჭირდება რეალურად ჩამოტვირთვის გარეშე თქვენთვის?
გაშვების დროს გაშვების შესაძლებლობა კარგია. ეს არის ის, რასაც გონივრულად მოელით კლავიატურის აპლიკაციისგან. მეორეს მხრივ, მოშორებით, ალბათ ყველაზე უვნებელი ნებართვის შემდეგ, ყველაზე ინვაზიურია: სრული ინტერნეტი.
დიახ, ეს ასეა, Google Keyboard-ს აქვს სრული და შეუზღუდავი წვდომა ინტერნეტზე, ასევე თქვენს კლავიშებზე და კონტაქტებზე, და SD ბარათის შიგთავსსა და პირადობას. და ჩვენი ნებართვების სია დაუყოვნებლივ გადადის და ამბობს, რომ Google Keyboard-ს შეუძლია უვნებლად გამოიყენოს თქვენი კლავიატურა. ვინმე ფიქრობს, რომ აქ ცოტა "დამალულია" საზიზღარი ნებართვები?
შემდეგი ორი ნებართვა უვნებელია და საშუალებას აძლევს ხელახლა წვდომას მომხმარებლის მორგებულ ლექსიკონზე, რაც სრულიად მოსალოდნელია კლავიატურის აპლიკაციიდან. და ბოლოს, მოითხოვება ქსელური კავშირების ნახვის ნებართვა. მე კიდევ ერთხელ ვერ შემოგთავაზებთ რაიმე აზრს იმის შესახებ, თუ რატომ არის ამის საჭიროება, გარდა თქვენი ცოდნის გარეშე ინტერნეტში წვდომის სხვა არსებული ნებართვებისა.
როგორც კლავიატურა, Google-ის შეთავაზება ირონიულად საკმაოდ კარგად არის აღჭურვილი ნებართვებით. მართლაც, ამ ეტაპზე, მე ვფიქრობდი, რომ რთული იქნებოდა კლავიატურის პოვნა, რომელიც უფრო ნაკლებად ითვალისწინებს მომხმარებლის კონფიდენციალურობას ნებართვების შერჩევისას. სამწუხაროდ, შევცდი.
Swiftkey
SwiftKey, რომელიც ახლახან გახდა უფასო აპლიკაცია, არის ძალიან პოპულარული მესამე მხარის კლავიატურა, რომელსაც ხშირად აფასებენ მისი პროგნოზირების ალგორითმის გამო, რომელსაც შეუძლია წინასწარ განსაზღვროს შემდეგი სიტყვა, რომელსაც გამოიყენებთ. მაგრამ ამას ფასი აქვს ნებართვების გამოყენებისას? კიდევ ერთხელ გავაფართოვე ეს სია, რომელიც Play Store-ის ვებ-ინტერფეისის მიერ შემოვიდა გადახვევის სიაში, ასე რომ თქვენ შეგიძლიათ ნახოთ ყველა ნებართვა ერთდროულად.
ერთი შეხედვით, SwiftKey, როგორც ჩანს, საკმაოდ ჰგავს Google Keyboard-ის ნებართვების შერჩევისას. აპლიკაციის შიგნით შესყიდვების დამატება განპირობებულია მისი ბოლოდროინდელი ხელახალი გაშვებით, როგორც უფასო აპი (და არა წინასწარ გადახდის აპი) და არ წარმოადგენს დიდ შეშფოთებას კონფიდენციალურობისთვის.
ჩვენი პირველი განსხვავება ისაა, რომ SwiftKey-ს აქვს წვდომა SMS და MMS შეტყობინებების წაკითხვაზე. ეს ლოგიკურია, იმის გათვალისწინებით, რომ SwiftKey-ს აქვს შეტყობინებებიდან ენის ნიმუშების შესწავლის ფუნქცია. სამწუხაროდ, იმის გათვალისწინებით, რომ SwiftKey არის დახურული კოდის პროგრამა (როგორც Google Keyboard), ძნელი სათქმელია ზუსტად ის, რაც კეთდება ამ მონაცემებით - მეტი ღია კოდის, მაღალი ხარისხის, კლავიატურის არჩევანი ნამდვილად საჭიროა ბაზარი!
კიდევ ერთი განსხვავება ისაა, რომ SwiftKey აცხადებს სამარცხვინო "READ_PHONE_STATE" ნებართვას. ეს გაძლევთ წვდომას თქვენს IMEI, IMSI და SIMID იდენტიფიკატორებზე, ასევე ტელეფონის ნომრებზე, და მეორე მხარის დეტალები ნებისმიერ ზარში (მათ შორის ტელეფონის ნომერი). ამ ეტაპზე, მე ნამდვილად ვერაფერს ვფიქრობ, რომ დავამატო აქ, თუ რატომ შეიძლება დასჭირდეს SwiftKey-ს ეს მონაცემები. რა თქმა უნდა, ყველა აპი, რომელიც თავსებადია Android 1.5-თან, ნაჩვენებია, როგორც ამ ნებართვის გამოყენებით, რადგან იმ დროს ამის გამოყოფილი ნებართვა არ არსებობდა. Android 1.5 არის 2009 წლის რელიქვია, თუმცა, დღეს ამის გამართლება არ არსებობს. შემიძლია მხოლოდ ვივარაუდო, რომ SwiftKey-მ, თავისი უსაზღვრო სიბრძნით, გადაწყვიტა, რომ მათ სურთ თავიანთი მომხმარებლების თვალყურის დევნება და ამისათვის საჭიროა ჰქონოდათ უნიკალური ტექნიკის იდენტიფიკატორი, როგორიცაა IMEI. სამწუხაროდ, მიუხედავად იმისა, რომ Google კრძალავს IMEI-ის გამოყენებას სარეკლამო თრექინგისთვის (მათ სურთ, რომ მათ ნაცვლად გამოიყენონ მომხმარებლის მიერ დაყენებული სარეკლამო ID), მათ არ აქვთ ზოგადად, მოწყობილობების იდენტიფიკატორების გამოყენების სრული აკრძალვა, რომელიც შეიძლება გამოყენებულ იქნას აპლიკაციებს შორის თქვენი გამოყენების თვალყურის დევნებისთვის და თქვენი იდენტიფიკაციის მუდმივი საშუალებით. მომავალი.
კიდევ ერთხელ, SwiftKey-მ გამოავლინა სრული ინტერნეტი, ნებართვა ჩაფლული "სხვა" განყოფილებაში. მხოლოდ მე ვარ გარკვეულწილად შეშფოთებული, რომ SwiftKey-ს აქვს სრული წვდომა ინტერნეტზე, ისევე როგორც ყველა სხვა მონაცემებიდან, რომლებზეც მას აქვს წვდომა (როგორიცაა SMS შეტყობინებები, თქვენი პირადობის დეტალები და ანგარიშები და IMEI)?
დასკვნა
ცხადია მხოლოდ ორი პოპულარული კლავიატურის ნებართვების მოკლე გადახედვით - ერთი Google-ის საკუთარი და ერთი SwiftKey - არის რამდენიმე ძირითადი კითხვა, რომელიც უნდა დაისვას ნებართვების გამოყენების შესახებ "უსაფრთხოებისადმი მგრძნობიარე" Android-ში აპლიკაციები. Apple-ის iOS 8 აპირებს შემოიტანოს მესამე მხარის კლავიატურები მომავალ გამოშვებაში, ინტერნეტთან წვდომის გარეშე. ეს აპლიკაციები ნაგულისხმევად და მომხმარებლისთვის შესაძლებლობა, უარი თქვას კლავიატურაზე წვდომაზე ინტერნეტზე, თუ ის მოითხოვს ის.
Android-ზე, აქციების მომხმარებლებს არ აქვთ ეს ვარიანტი. საბედნიეროდ, თუ თქვენ ხართ root მომხმარებელი, რომელიც მუშაობს Xposed Framework-ზე, XPrivacy დაგეხმარებათ აქ. მე დავბლოკე ყველა ნებართვა SwiftKey-დან, გარდა ჩემი მომხმარებლის ლექსიკონსა და SD ბარათზე წვდომისა (სადაც ის ინახავს მის მონაცემებს) და ის მუშაობს აბსოლუტურად კარგად. მე შეიძლება ვერ მივიღო ინტერნეტთან დაკავშირებული კლავიატურის „უპირატესობები“ (რატომ, ყველაფრის Android-ის სიყვარულისთვის, სურს ჩემს კლავიატურას შევიდე G+-ში „ღრუბელის“ ფუნქციების მისაღებად? ეს არის კლავიატურა!!)
ნათელია, რომ Play Store, რა თქმა უნდა, ცდილობს გაართულოს იმის დანახვა, თუ რა ნებართვები აქვს გამოიყენება აპლიკაციების მიერ და კატეგორიზებული ნებართვების ახალი ცვლილებები წარმოადგენს სრულიად განცალკევებულ და მნიშვნელოვან რისკებს, როგორც მე ხაზგასმულია ცოტა ხნის წინ. შესაძლოა დროა ტექნიკურად მცოდნე მომხმარებლებმა შეწყვიტონ და გაანალიზონ რა დააინსტალირეს ტელეფონზე და რომელ აპებს ენდობიან კლავიშების ყველა დაჭერით. კმაყოფილი ხართ თქვენი კლავიატურით ინტერნეტში თქვენი ცოდნის გარეშე წვდომით? იცოდით, რომ მას ამის გაკეთება შეეძლო, როდესაც დააინსტალირეთ? ბევრი კითხვაა, დროა მომხმარებლებმა მოითხოვონ პასუხი დეველოპერებისგან და გააკონტროლონ საკუთარი კონფიდენციალურობა, რადგან აშკარაა, რომ Google და აპლიკაციების დეველოპერები არ არიან დაინტერესებული ამით.