Prieš kelias dienas I parašė čia straipsnį aptariame kai kuriuos „Google Play“ parduotuvės leidimų tvarkymo pakeitimus ir kaip šie pakeitimai gali turėti neigiamą pavojų naudotojų privatumui. Komentarai apie šį straipsnį parodė didžiulį skaitytojų susirūpinimą dėl leidimus naudoja programos, o daugelis nori naudoti App Ops arba XPrivacy, kad apsaugotų patys.
Šiandien ketinu šiek tiek apeiti ir pažvelgti į leidimus, kurių reikia dviem populiarioms programoms: „Google“ pirmosios vakarėlio klaviatūrai ir „SwiftKey“. Abi šios yra klaviatūros programos ir jas galima nemokamai atsisiųsti iš „Play“ parduotuvės (pastaroji dabar yra „nemokama“ ir yra mokamos temos).
Nepaisant to, kad šios programos turi tiesioginę prieigą prie kiekvieno paspausto klavišo, įvesdamos kiekvieną aplankytą URL, tekstinį pranešimą ar el siųsti ir įvestą slaptažodį, atrodo, kad nedaugelis žmonių iš tikrųjų galvoja apie klaviatūros naudojamus leidimus ir tai.
Google klaviatūra
Pažvelkime į „Google“ klaviatūrą. Atminkite, kad turėjau redaguoti žemiau esantį vaizdą, nes „Play“ parduotuvės žiniatinklio sąsaja daro viską, kad nematytų viso sąrašo leidimų viename rodinyje, net esant 20 colių monitoriui vertikalioje padėtyje, jis vis tiek pasirinko daugumą jų paslėpti per šį slinkimą peržiūrėti. Tačiau jūsų žiūrėjimo malonumui sąrašą sujungiau į vieną vaizdą.
Pažiūrėkime, kas čia vyksta. Pirmiausia „Google“ klaviatūra turi prieigą prie jūsų kontaktinės kortelės ir paskyrų jūsų įrenginyje. Tai reiškia, kad ji gali žinoti, kas jūs esate, ir visas el. pašto (ir kitas) paskyras, kurias turite savo įrenginyje. Tai reiškia, kad jie gali matyti, kokias Google/Dropbox/Twitter/Microsoft Exchange/Facebook paskyras turite savo telefone. Aš visiškai neįsivaizduoju, kam to reikia ir kodėl žmonės nori perduoti šią informaciją.
Toliau programa gali skaityti jūsų kontaktus. Tai pakankamai teisinga – „Google“ akivaizdžiai nori įtraukti jūsų kontaktų vardus į rašybos tikrinimo ir automatinio užbaigimo duomenų bazes. Tai prasminga ir yra pateisinama klaviatūrai. Galimybė keisti arba ištrinti USB atmintinės turinį yra šiek tiek keista, tačiau ji leidžia pasiekti deja, nėra tikslaus būdo, kaip tai padaryti išsamiau būdu. Idealiu atveju „Google“ naudotų tik saugų /data/data saugykla, todėl to nereikėtų. Arba jie gali naudoti ASEC konteinerius, kad skaidriai gautų daugiau vietos jūsų SD kortelėje, nereikalaujant jokios prieigos prie jūsų asmens failų SD kortelėje.
Galimybė atsisiųsti failus be įspėjimo pradeda nerimauti – atminkite, kad šie leidimai yra paslėpti sąrašo apačioje, todėl turite slinkti, kad pasiektumėte juos. Neabejotinai kelia nerimą, kodėl klaviatūrai reikia ne tik atsisiųsti failus, bet ir tai padaryti nepranešant vartotojui. Kiek duomenų iš tikrųjų reikia atsisiųsti jums nepranešus?
Galimybė paleisti paleidžiant yra gera. Tai yra kažkas, ko pagrįstai tikitės iš klaviatūros programos. Kita vertus, paslėpta, iškart po bene labiausiai nekenksmingo leidimo, yra labiausiai invazinė: pilna prieiga prie interneto.
Taip, tiesa, „Google“ klaviatūra turi visišką ir nevaržomą prieigą prie interneto, taip pat jūsų klavišų paspaudimų, kontaktų, SD kortelės turinio ir tapatybės. Mūsų leidimų sąrašas iš karto pradeda pasakyti, kad „Google“ klaviatūra gali nekenksmingai naudoti jūsų klaviatūrą. Ar kas nors mano, kad čia šiek tiek „slepiami“ bjaurūs leidimai?
Kiti du leidimai yra nekenksmingi ir vėl suteikia prieigą prie vartotojo pasirinktinio žodyno, ko tikimasi iš klaviatūros programos. Galiausiai prašoma leidimo peržiūrėti tinklo ryšius. Dar kartą negaliu pasiūlyti jokios įžvalgos, kodėl to reikia, išskyrus tai, kad palengvinčiau kitus esamus leidimus pasiekti internetą be jūsų žinios.
Kaip klaviatūra, „Google“ pasiūlymas, kaip ironiška, gana gerai aprūpintas leidimais. Iš tiesų, šiuo metu maniau, kad būtų sunku rasti klaviatūrą, kurioje dar mažiau būtų atsižvelgiama į vartotojo privatumą pasirenkant leidimus. Deja, klydau.
Swiftkey
„SwiftKey“, neseniai tapusi nemokama programa, yra labai populiari trečiosios šalies klaviatūra, dažnai giriama už numatymo algoritmą, galintį nuspėti kitą žodį, kurį naudosite. Tačiau ar tai kainuoja naudojant leidimus? Dar kartą išplėčiau šį sąrašą, kurį „Play“ parduotuvės žiniatinklio sąsaja sudarė į slenkantį sąrašą, kad galėtumėte matyti visus leidimus vienu metu.
Greitai pažvelgus atrodo, kad „SwiftKey“ leidimų pasirinkimas yra gana panašus į „Google“ klaviatūrą. Pirkimas programoje pridėtas dėl to, kad ji neseniai buvo paleista iš naujo kaip nemokama programa (o ne iš anksto mokama programa), todėl privatumas nėra labai svarbus.
Pirmasis mūsų skirtumas yra tas, kad „SwiftKey“ turi prieigą prie SMS ir MMS pranešimų. Tai prasminga, nes „SwiftKey“ turi funkciją išmokti kalbos modelius iš pranešimų. Deja, atsižvelgiant į tai, kad „SwiftKey“ yra uždarojo kodo programa (pvz., „Google“ klaviatūra), sunku pasakyti tiksliai tai, kas daroma su šiais duomenimis – tikrai reikia daugiau atvirojo kodo, aukštos kokybės, klaviatūros pasirinkimų turgus!
Kitas skirtumas yra tas, kad „SwiftKey“ reikalauja liūdnai pagarsėjusio „READ_PHONE_STATE“ leidimo. Tai suteikia prieigą prie jūsų IMEI, IMSI ir SIMID identifikatorių bei telefono numerių, ir kitos šalies informaciją bet kuriuose skambučiuose (įskaitant jos telefono numerį). Šiuo metu tikrai nesugalvoju ką čia pridėti, kodėl „SwiftKey“ gali prireikti šių duomenų. Žinoma, visos su Android 1.5 suderinamos programos rodomos kaip naudojančios šį leidimą, nes tuo metu tam nebuvo suteiktas specialus leidimas. Tačiau „Android 1.5“ yra 2009 m. reliktas, todėl nėra jokio pasiteisinimo, kad tai yra šiandien. Galiu tik spėlioti, kad „SwiftKey“, turėdamas begalinę išmintį, nusprendė, kad norėtų sekti savo vartotojus, ir tam reikia turėti unikalų aparatinės įrangos identifikatorių, pvz., IMEI. Deja, nors „Google“ draudžia naudoti IMEI reklamai sekti (jie nori, kad būtų naudojamas jų naudotojo iš naujo nustatytas reklamavimo ID), jie neturi bendras draudimas naudoti įrenginių identifikatorius, kurie gali būti naudojami norint sekti jūsų naudojimą tarp programų ir suteikti nuolatinę priemone jus identifikuoti ateitis.
„SwiftKey“ dar kartą turėjo visišką interneto prieigą, leidimą, esantį skiltyje „Kita“. Ar aš vienintelis šiek tiek susirūpinęs, kad „SwiftKey“ turi visišką prieigą prie interneto, taip pat prie visų kitų duomenų, kuriuos jis pasiekia (pvz., SMS žinutes, jūsų tapatybės duomenis, paskyras ir IMEI)?
Išvada
Tai aišku tik trumpai pažvelgus į dviejų populiarių klaviatūrų leidimus – viena priklauso „Google“, o kita „SwiftKey“ – kad yra keletas pagrindinių klausimų, kuriuos reikia užduoti apie leidimų naudojimą „saugumui jautrioje“ „Android“ programos. „Apple iOS 8“ būsimame leidime ketina pristatyti trečiųjų šalių klaviatūras be interneto prieigos šios programos pagal numatytuosius nustatymus ir galimybė vartotojui uždrausti klaviatūros prieigą prie interneto, jei jis to prašo tai.
„Android“ akcijų vartotojai šios parinkties neturi. Laimei, jei esate įsišaknijęs vartotojas, naudojantis Xposed Framework, XPrivacy čia padeda. Užblokavau visus „SwiftKey“ leidimus, išskyrus prieigą prie savo vartotojo žodyno ir SD kortelės (kur ji saugo duomenis), ir ji veikia visiškai gerai. Galiu nepasinaudoti prie interneto prijungtos klaviatūros „privalumų“ (kodėl, dėl meilės visam, kas yra „Android“, ar mano klaviatūra nori, kad prisijungčiau prie G+ ir gaučiau „debesies“ funkcijas? Tai klaviatūra!!)
Akivaizdu, kad „Play“ parduotuvė tikrai stengiasi, kad būtų sunku suprasti, kokie leidimai yra suteikiami kurias naudoja programos, o nauji kategorizuotų leidimų pakeitimai kelia visiškai atskirą ir reikšmingą riziką, kaip aš neseniai paryškintas. Galbūt atėjo laikas techniškai išprususiems vartotojams sustoti ir įvertinti, ką yra įdiegę savo telefone ir kokiomis programėlėmis patiki visus klavišų paspaudimus. Ar esate patenkinti tuo, kad klaviatūra pasiekia internetą be jūsų žinios? Ar žinojote, kad tai gali padaryti, kai jį įdiegėte? Daug klausimų, atėjo laikas vartotojams reikalauti atsakymų iš kūrėjų ir kontroliuoti savo privatumą, nes akivaizdu, kad „Google“ ir programų kūrėjai nėra suinteresuoti tai daryti.