Pirms dažām dienām es rakstīja rakstu šeit apspriest dažas izmaiņas Google Play veikala atļauju apstrādē un to, kā šīs izmaiņas var radīt negatīvus lietotāju konfidencialitātes riskus. Komentāri par šo rakstu norādīja uz milzīgām lasītāju bažām par to lietojumprogrammas izmanto atļaujas, un daudzi vēlas izmantot App Ops vai XPrivacy, lai aizsargātu paši.
Šodien es došu nelielu līkumu un apskatīšu atļaujas, kas nepieciešamas divām populārām lietotnēm: Google pirmās puses tastatūrai un SwiftKey. Abas šīs ir tastatūras lietojumprogrammas, un abas ir pieejamas bez maksas lejupielādei Play veikalā (pēdējā tagad ir "freemium" ar pieejamiem maksas motīviem).
Neskatoties uz to, ka šīm lietojumprogrammām ir tieša piekļuve katram jūsu nospiestajam taustiņam, ievadot katru apmeklēto URL, īsziņu vai e-pasta ziņojumu sūtīt un ievadīto paroli, šķiet, ka daži cilvēki patiešām ņem vērā savas tastatūras izmantotās atļaujas un šis.
Google tastatūra
Apskatīsim Google tastatūru. Ņemiet vērā, ka man bija jārediģē tālāk redzamais attēls, jo Play veikala tīmekļa saskarne dara visu iespējamo, lai jūs neredzētu pilnu sarakstu. atļauju vienā skatā, pat ja 20 collu monitors ir vertikālā orientācijā, tas joprojām izvēlējās lielāko daļu no tām paslēpt šajā ritināšanā. skats. Tomēr jūsu skatīšanās priekam sarakstu esmu apkopojis vienā skatā.
Paskatīsimies, kas šeit notiek. Pirmkārt, Google tastatūrai ir piekļuve jūsu kontakta kartītei un kontiem jūsu ierīcē. Tas nozīmē, ka tai ir iespēja zināt, kas jūs esat, un visus jūsu ierīcē pieejamos e-pasta (un citus) kontus. Tas nozīmē, ka viņi var redzēt, kādi Google/Dropbox/Twitter/Microsoft Exchange/Facebook konti ir pieejami jūsu tālrunī. Man nav ne mazākās nojausmas, kāpēc tas ir vajadzīgs, nedz kāpēc cilvēki ir gatavi sniegt šo informāciju.
Tālāk lietotne var lasīt jūsu kontaktpersonas. Tas ir pietiekami godīgi — Google acīmredzot vēlas pievienot jūsu kontaktpersonu vārdus pareizrakstības pārbaudītāja un automātiskās pabeigšanas datu bāzēm. Tas ir loģiski, un tas ir kaut kas attaisnojams tastatūrai. Iespēja modificēt vai dzēst USB atmiņas saturu ir nedaudz dīvaina, taču tā ļauj piekļūt visiem datiem, kas tiek glabāti jūsu "SD kartē", diemžēl nav reāla veida, kā to izdarīt sīkāk veidā. Ideālā gadījumā Google izmantotu tikai drošo /data/data krātuve, un tāpēc tas nebūtu vajadzīgs. Alternatīvi, viņi var izmantot ASEC konteinerus, lai pārredzami iegūtu vairāk vietas jūsu SD kartē, nepieprasot piekļuvi jūsu personas failiem SD kartē.
Iespēja lejupielādēt failus bez brīdinājuma ir vieta, kur tas sāk raizēties - ņemiet vērā, ka šīs atļaujas ir paslēptas saraksta apakšā, tāpēc jums ir jāritina, lai to sasniegtu viņiem. Satraucoši ir tas, kāpēc tastatūrai ir nepieciešama iespēja ne tikai lejupielādēt failus, bet arī to darīt, nepaziņojot lietotājam. Cik daudz datu tas tiešām ir nepieciešams, lai lejupielādētu, jums nepaziņojot?
Spēja palaist startēšanas laikā ir laba. Tas ir kaut kas, ko jūs pamatoti varētu sagaidīt no tastatūras lietojumprogrammas. No otras puses, paslēpta uzreiz pēc, iespējams, visnekaitīgākās atļaujas, ir visinvazīvākā: pilna piekļuve internetam.
Jā, tieši tā, Google tastatūrai ir pilnīga un neierobežota piekļuve internetam, kā arī jūsu taustiņsitieniem, kontaktpersonām, SD kartes saturam un identitātei. Un mūsu atļauju sarakstā uzreiz tiek teikts, ka Google tastatūra var nekaitīgi izmantot jūsu tastatūru. Kāds domā, ka šeit tiek mazliet "slēptas" šķebinošās atļaujas?
Nākamās divas atļaujas ir nekaitīgas un atkal ļauj piekļūt lietotāja pielāgotajai vārdnīcai, kas pilnībā tiek gaidīta no tastatūras lietojumprogrammas. Visbeidzot, tiek pieprasīta atļauja skatīt tīkla savienojumus. Es vēlreiz nevaru sniegt nekādu ieskatu par to, kāpēc tas ir nepieciešams, izņemot citu esošo atļauju atvieglošanu, lai piekļūtu internetam bez jūsu ziņas.
Google piedāvājums kā tastatūra ironiskā kārtā ir diezgan labi nodrošināts ar atļaujām. Patiešām, šajā brīdī es domāju, ka būtu grūti atrast tastatūru, kuras atļauju atlasē būtu vēl mazāk ņemta vērā lietotāja privātums. Diemžēl es kļūdījos.
Swiftkey
SwiftKey, kas nesen kļuva par bezmaksas lietojumprogrammu, ir ļoti populāra trešās puses tastatūra, kas bieži tiek slavēta par tās prognozēšanas algoritmu, kas spēj paredzēt nākamo vārdu, ko izmantosit. Vai tas tomēr maksā par atļauju izmantošanu? Vēlreiz esmu paplašinājis šo sarakstu, ko Play veikala tīmekļa saskarne apkopoja ritināmā sarakstā, lai jūs varētu redzēt visas atļaujas vienlaikus.
Īsā mirklī šķiet, ka SwiftKey atļauju atlasē ir diezgan līdzīga Google tastatūrai. Iepirkumu lietotnē pievienošana ir saistīta ar to, ka tā nesen tika atkārtoti palaists kā bezmaksas lietotne (nevis kā apmaksāta lietotne), un tas nerada lielas bažas par privātumu.
Mūsu pirmā atšķirība ir tā, ka SwiftKey ir piekļuve SMS un MMS ziņojumu lasīšanai. Tas ir loģiski, ņemot vērā, ka SwiftKey ir iespēja apgūt valodas modeļus no ziņojumiem. Diemžēl, ņemot vērā, ka SwiftKey ir slēgta pirmkoda lietojumprogramma (piemēram, Google tastatūra), to ir grūti pateikt tieši tas, kas tiek darīts ar šiem datiem — noteikti ir nepieciešams vairāk atvērtā koda, augstas kvalitātes tastatūras izvēles tirgus!
Vēl viena atšķirība ir tā, ka SwiftKey pieprasa bēdīgi slaveno "READ_PHONE_STATE" atļauju. Tas nodrošina piekļuvi jūsu IMEI, IMSI un SIMID identifikatoriem, kā arī tālruņu numuriem, kā arī informāciju par otru pusi visos zvanos (tostarp tālruņa numuru). Šobrīd es tiešām nevaru iedomāties neko, ko šeit pievienot, kāpēc SwiftKey varētu būt nepieciešami šie dati. Protams, visas ar operētājsistēmu Android 1.5 saderīgās lietotnes tiek rādītas kā tādas, kas izmanto šo atļauju, jo tajā laikā tai nebija īpašas atļaujas. Tomēr operētājsistēma Android 1.5 ir 2009. gada relikts, tāpēc nav attaisnojuma tam, ka tā ir pieejama šodien. Es varu tikai pieļaut, ka SwiftKey savā bezgalīgajā gudrībā ir nolēmusi, ka vēlas izsekot savus lietotājus, un, lai to izdarītu, ir nepieciešams unikāls aparatūras identifikators, piemēram, IMEI. Diemžēl, lai gan Google aizliedz izmantot IMEI reklāmu izsekošanai (viņi vēlas, lai tā vietā tiktu izmantots viņu lietotāja atiestatāmais reklāmas ID), viņiem nav vispārējs aizliegums izmantot ierīču identifikatorus, kurus var izmantot, lai izsekotu jūsu lietojumam starp lietojumprogrammām un nodrošinātu pastāvīgu līdzekli jūsu identificēšanai nākotnē.
Atkal SwiftKey piedāvāja pilnu piekļuvi internetam, atļauju, kas tika ievietota sadaļā "citi". Vai es esmu vienīgais, kas nedaudz uztraucas, ka SwiftKey ir pilna piekļuve internetam, kā arī visam citiem datiem, kuriem tas piekļūst (piemēram, īsziņas, jūsu identitātes informācija un konti, un IMEI)?
Secinājums
Tas ir skaidrs, tikai īsi aplūkojot divu populāru tastatūru atļaujas — viena pieder Google, bet otra — SwiftKey — ka ir daži svarīgi jautājumi, kas jāuzdod par atļauju izmantošanu "drošību jutīgā" Android ierīcē lietojumprogrammas. Apple iOS 8 plāno ieviest trešo pušu tastatūras gaidāmajā laidienā, bez piekļuves internetam šīs lietojumprogrammas pēc noklusējuma un iespēja lietotājam liegt tastatūras piekļuvi internetam, ja tas to pieprasa to.
Operētājsistēmā Android akciju lietotājiem šīs iespējas nav. Par laimi, ja esat iesakņojies lietotājs, kurā darbojas Xposed Framework, XPrivacy šeit palīdz. Esmu bloķējis visas SwiftKey atļaujas, izņemot piekļuvi manai lietotāja vārdnīcai un SD kartei (kur tā glabā savus datus), un tā darbojas pilnīgi labi. Iespējams, es neizmantoju internetam pieslēgtas tastatūras "priekšrocības" (kāpēc, lai mīlu visu, kas ir Android, vai mana tastatūra vēlas, lai es pierakstos pakalpojumā G+, lai iegūtu mākoņa funkcijas? Tā ir tastatūra!!)
Ir skaidrs, ka Play veikals noteikti mēģina apgrūtināt to, kādas atļaujas tiek piešķirtas ko izmanto lietotnes, un jaunās izmaiņas kategorizētajās atļaujās rada pilnīgi atsevišķus un nozīmīgus riskus, kā es nesen izcelts. Varbūt ir pienācis laiks tehniski gudriem lietotājiem apstāties un novērtēt, ko viņi ir instalējuši savā tālrunī un kurām lietotnēm viņi uzticas ar visiem taustiņsitieniem. Vai esat apmierināts ar tastatūras piekļuvi internetam bez jūsu ziņas? Vai zinājāt, ka to var izdarīt, kad to instalējāt? Ir daudz jautājumu, lietotājiem ir pienācis laiks pieprasīt atbildes no izstrādātājiem un pašiem kontrolēt savu privātumu, jo ir skaidrs, ka Google un lietotņu izstrādātājus tas neinteresē.