Acum câteva zile, eu a scris un articol aici discutând despre unele modificări în gestionarea permisiunilor Magazinului Google Play și despre modul în care aceste modificări pot prezenta riscuri negative pentru confidențialitate pentru utilizatori. Comentariile la acel articol au indicat o cantitate copleșitoare de îngrijorare din partea cititorilor cu privire la permisiunile sunt folosite de aplicații, mulți care doresc să folosească App Ops sau XPrivacy pentru a proteja înșiși.
Astăzi, voi face un mic ocol și voi privi permisiunile necesare pentru două aplicații populare: tastatura Google first party și SwiftKey. Ambele sunt aplicații de tastatură și ambele sunt disponibile pentru descărcare gratuită pe Magazinul Play (acesta din urmă fiind acum „freemium” cu teme pentru plată disponibile).
În ciuda faptului că aceste aplicații au acces direct la fiecare tastă pe care o apăsați, la introducerea fiecărei adrese URL pe care o vizitați, mesaj text sau e-mail trimiteți și parola pe care o introduceți, se pare că puțini oameni iau în considerare permisiunile folosite de tastatura lor și implicațiile acest.
Tastatura Google
Să aruncăm o privire la tastatura Google. Rețineți că a trebuit să editez imaginea de mai jos, deoarece interfața web Magazinul Play face tot posibilul pentru a vă împiedica să vedeți lista completă de permisiuni într-o singură vizualizare, chiar și cu un monitor de 20 inchi în orientare verticală, a ales totuși să ascundă cele mai multe dintre ele în această derulare vedere. Cu toate acestea, pentru plăcerea dvs. de vizionare, am reunit lista într-o singură vizualizare.
Să aruncăm o privire la ce se întâmplă aici. În primul rând, tastatura Google are acces la propria carte de contact și la conturile de pe dispozitiv. Aceasta înseamnă că are capacitatea de a ști cine sunteți și toate conturile de e-mail (și alte) pe care le aveți disponibile pe dispozitiv. Asta înseamnă că este posibil pentru ei să vadă ce conturi Google/Dropbox/Twitter/Microsoft Exchange/Facebook aveți disponibile pe telefon. Nu am absolut nicio idee de ce este nevoie de acest lucru și nici de ce oamenii sunt dispuși să dea aceste informații.
În continuare, aplicația vă poate citi contactele. Este destul de corect - Google dorește evident să adauge numele dvs. de contact în baza de date de verificare ortografică și de completare automată. Acest lucru are sens și este ceva justificabil pentru o tastatură. Abilitatea de a modifica sau șterge conținutul stocării USB este oarecum ciudată, dar permite accesul la toate datele stocate pe „cardul SD”, nu există, din păcate, nicio modalitate reală de a face acest lucru într-un mod mai granular cale. În mod ideal, Google ar folosi doar sistemul securizat /data/data stocare și, prin urmare, nu ar avea nevoie de acest lucru. Alternativ, ar putea folosi containerele ASEC pentru a obține în mod transparent mai mult spațiu de stocare pe cardul SD, fără a necesita acces la fișierele personale de pe cardul SD.
Capacitatea de a descărca fișiere fără notificare este locul în care începe să devină corect în ceea ce privește - rețineți că aceste permisiuni sunt ascunse în partea de jos a listei, așa că trebuie să derulați pentru a ajunge lor. Este cu siguranță îngrijorător motivul pentru care o tastatură are nevoie de capacitatea nu doar de a descărca fișiere, ci și de a face acest lucru fără a spune utilizatorului. De câte date trebuie să descarce fără să vă spună?
Capacitatea de a rula la pornire este bună. Este ceva la care te-ai aștepta în mod rezonabil de la o aplicație de tastatură. Pe de altă parte, ascuns, imediat după permisiunea poate cea mai inofensivă, este cea mai invazivă: acces complet la internet.
Da, așa este, tastatura Google are acces deplin și neîngrădit la Internet, precum și la apăsarea tastelor, la contacte și la conținutul cardului SD și la identitate. Și lista noastră de permisiuni spune imediat că tastatura Google vă poate folosi tastatura în mod inofensiv. Crede cineva că există un pic de „ascundere” a permisiunilor urâte care se întâmplă aici?
Următoarele două permisiuni sunt inofensive și permit accesul la dicționarul personalizat al utilizatorului din nou, total așteptat de la o aplicație de tastatură. În cele din urmă, se solicită permisiunea de a vizualiza conexiunile la rețea. Din nou, nu pot oferi nicio perspectivă cu privire la motivul pentru care este nevoie de acest lucru, în afară de a facilita celelalte permisiuni existente pentru accesarea la Internet fără știrea dumneavoastră.
Ca tastatură, oferta Google este, în mod ironic, destul de bine dotată cu permisiuni. Într-adevăr, în acest moment, m-am gândit că ar fi dificil să găsesc o tastatură cu și mai puțină atenție pentru confidențialitatea utilizatorului în selectarea permisiunilor. Din păcate, m-am înșelat.
Swiftkey
SwiftKey, care a devenit recent o aplicație gratuită, este o tastatură terță parte foarte populară, adesea lăudată pentru că algoritmul său de predicție este capabil să prezică următorul cuvânt pe care îl vei folosi. Totuși, acest lucru are un cost în utilizarea permisiunilor? Încă o dată, am extins această listă, care a fost completată de interfața web Play Store într-o listă derulantă, astfel încât să puteți vedea toate permisiunile simultan.
La o privire rapidă, SwiftKey pare să fie destul de asemănătoare în selectarea permisiunilor cu Google Keyboard. Adăugarea Achizițiilor în aplicație se datorează relansării sale recente ca aplicație gratuită (mai degrabă decât o aplicație cu plată în avans) și nu reprezintă o mare preocupare pentru confidențialitate.
Prima noastră diferență este că SwiftKey are acces pentru a citi mesajele SMS și MMS. Acest lucru are sens, având în vedere că SwiftKey are o funcție pentru a învăța modele de limbă din mesaje. Din păcate, având în vedere că SwiftKey este o aplicație cu sursă închisă (cum ar fi Google Keyboard), este greu de spus exact ce se face cu aceste date - mai multe opțiuni open source, de înaltă calitate, de la tastatură sunt cu siguranță necesare pe piaţă!
O altă diferență este că SwiftKey revendică infama permisiunea „READ_PHONE_STATE”. Acest lucru oferă acces la identificatorii dvs. IMEI, IMSI și SIMID, precum și la numerele de telefonși detaliile celeilalte părți în orice apeluri (inclusiv numărul de telefon al acestuia). În acest moment, chiar nu mă pot gândi la nimic de adăugat aici despre motivul pentru care SwiftKey ar putea avea nevoie de aceste date. Sigur, toate aplicațiile compatibile cu Android 1.5 sunt afișate ca utilizând această permisiune, deoarece nu existau permisiuni dedicate pentru aceasta la acel moment. Cu toate acestea, Android 1.5 este o relicvă din 2009, așa că nu există nicio scuză pentru ca acest lucru să fie prezent astăzi. Pot doar să presupun că SwiftKey, în înțelepciunea lor infinită, a decis că ar dori să își poată urmări utilizatorii și a avut nevoie să aibă un identificator hardware unic precum IMEI pentru a face acest lucru. Din păcate, în timp ce Google interzice utilizarea IMEI pentru urmărirea reclamelor (dor ca ID-ul de publicitate resetat de utilizator să fie folosit în schimb), nu au un interzicerea generală a utilizării identificatorilor de dispozitiv în general, care pot fi folosite pentru a urmări utilizarea dvs. între aplicații și pentru a oferi un mijloc persistent de a vă identifica în viitor.
Încă o dată, SwiftKey prezenta acces complet la Internet, o permisiune ascunsă în secțiunea „altele”. Sunt singurul oarecum îngrijorat că SwiftKey are acces deplin la Internet, precum și la toate a celorlalte date pe care le accesează (cum ar fi mesajele SMS, detaliile de identitate și conturile dvs. și IMEI)?
Concluzie
Este clar doar dintr-o scurtă privire asupra permisiunilor a două tastaturi populare - una fiind a lui Google și una fiind SwiftKey - că există câteva întrebări majore care trebuie puse cu privire la utilizarea permisiunilor în Android „sensibil la securitate” aplicatii. iOS 8 de la Apple intenționează să introducă tastaturi terțe în versiunea viitoare, fără acces la internet disponibil pentru aceste aplicații în mod implicit și o oportunitate pentru utilizator de a refuza accesul tastaturii la internet dacă acesta solicită aceasta.
Pe Android, utilizatorii de stoc nu au această opțiune. Din fericire, dacă sunteți un utilizator rootat care rulează Xposed Framework, XPrivacy vă ajută aici. Am blocat toate permisiunile de la SwiftKey, cu excepția accesării dicționarului meu de utilizator și a cardului SD (unde își stochează datele) și funcționează absolut bine. Este posibil să nu obțin „avantajele” unei tastaturi conectate la internet (de ce, din dragoste pentru tot ceea ce este Android, dorește tastatura mea să mă conectez la G+ pentru a obține funcții „cloud”? Este o tastatură!!)
Este clar că Magazinul Play încearcă cu siguranță să facă dificil să vezi ce permisiuni sunt utilizate de aplicații, iar noile modificări aduse permisiunilor clasificate prezintă riscuri complet separate și semnificative, cum ar fi eu evidențiat recent. Poate că este timpul ca utilizatorii cunoscători din punct de vedere tehnic să se oprească și să facă bilanțul a ceea ce au instalat pe telefonul lor și în ce aplicații au încredere cu toate apăsările de taste. Ești mulțumit că tastatura ta accesează Internet fără știrea ta? Știai că poate face asta când l-ai instalat? O mulțime de întrebări, este timpul ca utilizatorii să ceară răspunsuri de la dezvoltatori și să preia controlul asupra propriei confidențialitate, deoarece este clar că Google și dezvoltatorii de aplicații nu sunt interesați să facă acest lucru.