Пре неколико дана, И написао је чланак овде расправљамо о неким променама у руковању дозволама за Гоогле Плаи продавницу и како ове промене могу имати штетне ризике за приватност за кориснике. Коментари на тај чланак указали су на огромну забринутост читалаца у вези са дозволе које користе апликације, а многи желе да користе Апп Опс или КСПриваци за заштиту себе.
Данас ћу мало скренути и погледати дозволе потребне двема популарним апликацијама: Гоогле-ова тастатура за прву забаву и СвифтКеи. Обе су апликације за тастатуру и обе су доступне за бесплатно преузимање у Плаи продавници (потоња је сада „фреемиум“ са доступним темама које се плаћају).
Упркос томе што ове апликације имају директан приступ сваком тастеру који притиснете, приликом уноса сваке УРЛ адресе коју посетите, текстуалне поруке или е-поште послати и лозинку коју унесете, изгледа да мало људи заиста разматра дозволе које користи њихова тастатура и импликације ово.
Гоогле тастатура
Хајде да погледамо Гоогле-ову тастатуру. Имајте на уму да сам морао да уредим слику испод, пошто веб интерфејс Плаи продавнице чини све да спречи да видите целу листу дозвола у једном приказу, чак и са монитором од 20" у вертикалној оријентацији, ипак је изабрао да сакрије већину њих у оквиру овог померања поглед. Међутим, ради вашег задовољства гледања, саставио сам листу у један приказ.
Хајде да погледамо шта се овде дешава. Прво, Гоогле тастатура има приступ вашој контакт картици и налозима на вашем уређају. То значи да има могућност да зна ко сте и све налоге е-поште (и друге) које имате на располагању на свом уређају. То значи да је могуће да виде које Гоогле/Дропбок/Твиттер/Мицрософт Екцханге/Фацебоок налоге имате на располагању на свом телефону. Апсолутно немам појма зашто је ово потребно, нити зашто су људи вољни да дају ове информације.
Следеће, апликација може да чита ваше контакте. То је сасвим поштено – Гоогле очигледно жели да дода ваша имена контаката у базу података за проверу правописа и аутоматско довршавање. Ово има смисла и нешто је оправдано за тастатуру. Могућност измене или брисања садржаја УСБ меморије је помало чудна, али иако дозвољава приступ за све ваше податке ускладиштене на вашој „СД картици“, нажалост не постоји прави начин да се то уради детаљније начин. У идеалном случају, Гоогле би користио само безбедне /data/data складиште, па стога ово не би требало. Алтернативно, могли би да користе АСЕЦ контејнере да транспарентно добију више простора за складиштење на вашој СД картици, без потребе за приступом вашим личним датотекама на СД картици.
Могућност преузимања датотека без обавештења је оно што почиње да се правилно тиче - имајте на уму да су ове дозволе скривене на дну листе, тако да морате да скролујете да бисте дошли њих. Забрињава зашто је тастатури потребна могућност не само преузимања датотека, већ и без обавештавања корисника. Колико података заиста треба да преузме без да вам кажем?
Могућност покретања при покретању је у реду. То је нешто што бисте разумно очекивали од апликације за тастатуру. С друге стране, ушушкан, одмах после можда најбезазленије дозволе, најинвазивнији је: пун приступ Интернету.
Да, тако је, Гоогле тастатура има потпун и неометан приступ Интернету, као и вашим притиском на тастере, контактима, садржају СД картице и идентитету. А наша листа дозвола одмах скаче на то да Гоогле тастатура може безопасно да користи вашу тастатуру. Да ли неко мисли да се овде дешава мало "скривања" гадних дозвола?
Следеће две дозволе су безопасне и поново дозвољавају приступ корисничком прилагођеном речнику, што се потпуно очекује од апликације са тастатуром. На крају се тражи дозвола за преглед мрежних веза. Још једном не могу да понудим никакав увид зашто постоји потреба за овим, осим да омогућим друге постојеће дозволе за приступ интернету без вашег знања.
Као тастатура, Гоогле-ова понуда је иронично прилично добро опремљена дозволама. Заиста, у овом тренутку сам мислио да ће бити тешко пронаћи тастатуру која би још мање водила рачуна о приватности корисника у избору дозвола. Нажалост, погрешио сам.
Свифткеи
СвифтКеи, који је недавно постао бесплатна апликација, је веома популарна тастатура треће стране, често хваљена због свог алгоритма за предвиђање који може да предвиди следећу реч коју ћете користити. Међутим, да ли то има цену у коришћењу дозвола? Још једном сам проширио ову листу, коју је веб интерфејс Плаи продавнице савио у листу за померање, тако да можете видети све дозволе одједном.
На брз поглед, чини се да је СвифтКеи прилично сличан у избору дозвола Гоогле тастатури. Додавање куповине у апликацији је због његовог недавног поновног покретања као бесплатне апликације (уместо апликације која се плаћа унапред), и није од велике бриге за приватност.
Наша прва разлика је у томе што СвифтКеи има приступ читању СМС и ММС порука. Ово има смисла, с обзиром да СвифтКеи има функцију за учење језичких образаца из порука. Нажалост, с обзиром на то да је СвифтКеи апликација затвореног кода (као што је Гоогле тастатура), тешко је рећи тачно оно што се ради са овим подацима – више отвореног кода, високог квалитета, избор тастатуре је дефинитивно потребан тржиште!
Друга разлика је у томе што СвифтКеи тражи злогласну дозволу „РЕАД_ПХОНЕ_СТАТЕ“. Ово даје приступ вашим ИМЕИ, ИМСИ и СИМИД идентификаторима, као и бројевима телефона, и детаље друге стране у свим позивима (укључујући њихов број телефона). У овом тренутку, заиста не могу да смислим шта да додам о томе зашто би СвифтКеи-у могли бити потребни ови подаци. Наравно, све апликације компатибилне са Андроидом 1.5 су приказане као користе ову дозволу, јер у то време није постојала наменска дозвола за то. Међутим, Андроид 1.5 је реликт из 2009. године, тако да нема оправдања за ово што је данас присутно. Могу само да претпоставим да је СвифтКеи, у својој бескрајној мудрости, одлучио да желе да могу да прате своје кориснике, и да им је за то потребан јединствени идентификатор хардвера као што је ИМЕИ. Нажалост, иако Гоогле забрањује употребу ИМЕИ-а за праћење реклама (они желе да се уместо тога користи њихов ИД оглашавања који може да се ресетује), они немају општа забрана коришћења идентификатора уређаја уопште, који се могу користити за праћење ваше употребе између апликација и обезбеђују трајна средства за вашу идентификацију у будућност.
Још једном, СвифтКеи је имао пун приступ Интернету, дозволу скривену у одељку „остало“. Да ли ме једино брине што СвифтКеи има пун приступ интернету, као и све осталих података којима приступа (као што су СМС поруке, детаљи о вашем идентитету и налози, и ИМЕИ)?
Закључак
То је јасно из само кратког погледа на дозволе две популарне тастатуре – једна је Гоогле-ова, а друга СвифтКеи – да треба поставити нека главна питања о коришћењу дозвола у „безбедносно осетљивом“ Андроиду апликације. Апплеов иОС 8 намерава да представи тастатуре трећих страна у предстојећем издању, без приступа Интернету за ове апликације подразумевано, и могућност да корисник ускрати приступ интернету са тастатуре ако то затражи то.
На Андроиду, корисници акција немају ову опцију. На срећу, ако сте роот корисник који користи Кспосед Фрамеворк, КСПриваци овде помаже. Блокирао сам сваку дозволу од СвифтКеи-а, са изузетком приступа мом корисничком речнику и СД картици (где чува своје податке), и ради апсолутно добро. Можда не добијам „предности“ тастатуре повезане са интернетом (зашто, због свега што је Андроид, да ли моја тастатура жели да се пријавим на Г+ да бих добио „облак“ функције? То је тастатура!!)
Јасно је да Плаи продавница сигурно покушава да отежава увид у дозволе које користе апликације, а нове промене категорисаних дозвола представљају потпуно одвојене и значајне ризике, као нпр И недавно истакнуто. Можда је време да технички паметни корисници зауставе и размотре шта су инсталирали на свом телефону и којим апликацијама верују при свим притиском на тастере. Да ли сте задовољни што ваша тастатура приступа интернету без вашег знања? Да ли сте знали да то може да уради када сте га инсталирали? Много питања, време је да корисници затраже одговоре од програмера и преузму контролу над сопственом приватношћу, јер је јасно да Гоогле и програмери апликација нису заинтересовани за ово.