Pred pár dňami I tu napísal článok diskutovať o niektorých zmenách v zaobchádzaní s povoleniami v obchode Google Play a o tom, ako tieto zmeny môžu mať nepriaznivé riziká pre ochranu súkromia pre používateľov. Komentáre k tomuto článku naznačovali obrovské obavy čitateľov, pokiaľ ide o oprávnenia používané aplikáciami, pričom mnohí chcú na ochranu použiť App Ops alebo XPrivacy sami.
Dnes si urobím malú odbočku a pozriem sa na povolenia, ktoré potrebujú dve populárne aplikácie: klávesnica prvej strany od Googlu a SwiftKey. Obidve sú to aplikácie pre klávesnicu a obe sú k dispozícii na stiahnutie zadarmo v Obchode Play (posledná z nich je teraz „freemium“ s dostupnými platenými témami).
Napriek tomu, že tieto aplikácie majú priamy prístup ku každému stlačenému tlačidlu, pri zadávaní každej navštívenej adresy URL, textovej správy alebo e-mailu odosielať a zadávať heslo, zdá sa, že len málo ľudí skutočne zvažuje oprávnenia používané ich klávesnicou a ich dôsledky toto.
Klávesnica Google
Poďme sa pozrieť na klávesnicu Google. Upozorňujeme, že som musel upraviť obrázok nižšie, pretože webové rozhranie Obchodu Play robí všetko pre to, aby vám zabránilo zobraziť úplný zoznam povolenia v jednom zobrazení, dokonca aj pri 20-palcovom monitore vo vertikálnej orientácii sa väčšina z nich stále rozhodla skryť v rámci tohto posúvania vyhliadka. Pre vaše potešenie zo sledovania som však zoznam spojil do jedného zobrazenia.
Poďme sa pozrieť, čo sa tu deje. Po prvé, Klávesnica Google má prístup k vašej vlastnej karte kontaktu a účtom vo vašom zariadení. To znamená, že má schopnosť vedieť, kto ste, a všetky e-mailové (a iné) účty, ktoré máte k dispozícii vo svojom zariadení. To znamená, že môžu vidieť, aké účty Google/Dropbox/Twitter/Microsoft Exchange/Facebook máte vo svojom telefóne k dispozícii. Absolútne netuším, prečo je to potrebné, ani prečo sú ľudia ochotní poskytnúť tieto informácie.
Ďalej môže aplikácia čítať vaše kontakty. To je dosť spravodlivé – Google zjavne chce pridať vaše kontaktné mená do databáz kontroly pravopisu a automatického dopĺňania. To dáva zmysel a je to niečo opodstatnené pre klávesnicu. Schopnosť upraviť alebo odstrániť obsah úložného priestoru USB je trochu zvláštna, ale umožňuje prístup na všetky vaše údaje uložené na vašej „SD karte“, bohužiaľ neexistuje žiadny reálny spôsob, ako to urobiť podrobnejšie spôsobom. V ideálnom prípade by Google používal iba zabezpečené /data/data úložisko, a preto by to nepotrebovali. Prípadne môžu použiť kontajnery ASEC na transparentné získanie väčšieho úložného priestoru na vašej SD karte bez toho, aby vyžadovali akýkoľvek prístup k vašim osobným súborom na SD karte.
Schopnosť sťahovať súbory bez upozornenia je miesto, kde to začína byť správne - všimnite si, že tieto povolenia sú zastrčené v spodnej časti zoznamu, takže sa k nim musíte posúvať ich. Skutočnosť, prečo klávesnica potrebuje nielen možnosť sťahovať súbory, ale robiť to bez toho, aby o tom informovala používateľa, je určite znepokojujúca. Koľko údajov skutočne potrebuje stiahnuť bez toho, aby vám to povedal?
Schopnosť spustiť pri štarte je v poriadku. To je niečo, čo by ste rozumne očakávali od aplikácie klávesnice. Na druhej strane, zastrčený, hneď po možno najneškodnejšom povolení, je najinvazívnejší: plný prístup na internet.
Áno, je to tak, Klávesnica Google má úplný a neobmedzený prístup k internetu, ako aj k vašim stlačeniam kláves, kontaktom, obsahu SD karty a identite. A náš zoznam povolení okamžite hovorí, že Klávesnica Google môže neškodne používať vašu klávesnicu. Myslí si niekto, že sa tu trochu „skrývajú“ nechutné povolenia?
Nasledujúce dve povolenia sú neškodné a umožňujú opäť prístup k užívateľskému slovníku, ktorý sa úplne očakáva od aplikácie klávesnice. Nakoniec sa vyžaduje povolenie na zobrazenie sieťových pripojení. Opäť nemôžem ponúknuť žiadny pohľad na to, prečo je to potrebné, okrem zjednodušenia ostatných existujúcich povolení na prístup na internet bez vášho vedomia.
Ako klávesnica je ponuka Google ironicky dosť dobre vybavená povoleniami. V tomto bode som si skutočne myslel, že bude ťažké nájsť klávesnicu, ktorá by pri výbere povolení ešte menej dbala na súkromie používateľa. Žiaľ, mýlil som sa.
Swiftkey
SwiftKey, ktorá sa nedávno stala bezplatnou aplikáciou, je veľmi populárna klávesnica tretej strany, ktorá je často chválená za svoj predikčný algoritmus, ktorý dokáže predpovedať ďalšie slovo, ktoré použijete. Má to však nejakú cenu, pokiaľ ide o používanie povolení? Opäť som rozšíril tento zoznam, ktorý bol zrolovaný webovým rozhraním Obchodu Play do rolovacieho zoznamu, takže môžete vidieť všetky povolenia naraz.
Pri rýchlom pohľade sa zdá, že SwiftKey je vo výbere povolení dosť podobný ako Klávesnica Google. Pridanie nákupov v aplikácii je spôsobené jej nedávnym opätovným uvedením na trh ako bezplatná aplikácia (namiesto platenej aplikácie vopred) a nemá veľký vplyv na súkromie.
Naším prvým rozdielom je, že SwiftKey má prístup na čítanie správ SMS a MMS. To dáva zmysel, pretože SwiftKey má funkciu na učenie sa jazykových vzorov zo správ. Bohužiaľ, vzhľadom na to, že SwiftKey je uzavretá zdrojová aplikácia (ako Klávesnica Google), je ťažké povedať presne to, čo sa robí s týmito údajmi – určite je potrebný väčší výber open source, vysoká kvalita a klávesnica trh!
Ďalším rozdielom je, že SwiftKey si nárokuje neslávne známe povolenie „READ_PHONE_STATE“. To umožňuje prístup k vašim identifikátorom IMEI, IMSI a SIMID, ako aj k telefónnym číslama podrobnosti o druhej strane v akýchkoľvek hovoroch (vrátane jej telefónneho čísla). V tejto chvíli ma naozaj nenapadá nič, čo by som sem mohol pridať, prečo by SwiftKey mohol tieto údaje potrebovať. Iste, všetky aplikácie kompatibilné so systémom Android 1.5 sa zobrazujú ako používajúce toto povolenie, pretože v tom čase na to neexistovalo žiadne špeciálne povolenie. Android 1.5 je však pozostatkom z roku 2009, takže dnes neexistuje žiadne ospravedlnenie. Môžem sa len domnievať, že SwiftKey sa vo svojej nekonečnej múdrosti rozhodli, že by chceli sledovať svojich používateľov, a na to potrebujú mať jedinečný hardvérový identifikátor, ako je IMEI. Bohužiaľ, hoci Google zakazuje používanie IMEI na sledovanie reklamy (chcú, aby sa namiesto toho použilo ich užívateľom resetovateľné reklamné ID), nemá všeobecný zákaz používania identifikátorov zariadení vo všeobecnosti, ktoré možno použiť na sledovanie vášho používania medzi aplikáciami a poskytnúť trvalé prostriedky na vašu identifikáciu budúcnosti.
SwiftKey opäť ponúkal plný prístup na internet, povolenie schované v sekcii „iné“. Som jediný, koho trochu znepokojuje, že SwiftKey má plný prístup na internet, ako aj všetky o ďalších údajoch, ku ktorým má prístup (ako sú správy SMS, vaše identifikačné údaje a účty a IMEI)?
Záver
Z krátkeho pohľadu na oprávnenia dvoch populárnych klávesníc je jasné, že jedna patrí spoločnosti Google a druhá SwiftKey – že je potrebné položiť si niekoľko dôležitých otázok o používaní povolení v systéme Android „citlivom na zabezpečenie“ aplikácie. Apple iOS 8 má v úmysle predstaviť klávesnice tretích strán v nadchádzajúcom vydaní bez prístupu na internet tieto aplikácie v predvolenom nastavení a možnosť pre používateľa zakázať klávesnici prístup na internet, ak o to požiada to.
V systéme Android používatelia akcií túto možnosť nemajú. Našťastie, ak ste zakorenený používateľ so systémom Xposed Framework, XPrivacy tu pomáha. Zablokoval som každé povolenie od SwiftKey, s výnimkou prístupu k môjmu používateľskému slovníku a SD karte (kde ukladá svoje údaje) a funguje úplne dobre. Možno nezískam „výhody“ klávesnice pripojenej na internet (prečo, z lásky k Androidu, moja klávesnica chce, aby som sa prihlásil do G+, aby som získal funkcie „cloud“? Je to klávesnica!!)
Je jasné, že Obchod Play sa určite snaží sťažiť prehľad o povoleniach používané aplikáciami a nové zmeny kategorizovaných povolení predstavujú úplne samostatné a významné riziká, napr ja zvýraznené nedávno. Možno je načase, aby sa technicky zdatní používatelia zastavili a zhodnotili, čo majú nainštalované v telefóne a ktorým aplikáciám dôverujú všetkými stlačeniami klávesov. Ste spokojní s tým, že vaša klávesnica pristupuje na internet bez vášho vedomia? Vedeli ste, že to dokáže, keď ste ho nainštalovali? Veľa otázok, je čas, aby používatelia požadovali odpovede od vývojárov a prevzali kontrolu nad vlastným súkromím, pretože je jasné, že Google a vývojári aplikácií o to nemajú záujem.