เมื่อไม่กี่วันก่อน ฉัน เขียนบทความที่นี่ พูดคุยถึงการเปลี่ยนแปลงบางอย่างในการจัดการสิทธิ์ของ Google Play Store และการเปลี่ยนแปลงเหล่านี้อาจมีความเสี่ยงด้านความเป็นส่วนตัวที่ไม่พึงประสงค์สำหรับผู้ใช้อย่างไร ความคิดเห็นในบทความนั้นบ่งบอกถึงความกังวลจำนวนมากจากผู้อ่านเกี่ยวกับ สิทธิ์ที่แอปพลิเคชันใช้ โดยหลายๆ คนต้องการใช้ App Ops หรือ XPrivacy เพื่อปกป้อง ตัวพวกเขาเอง.
วันนี้ ฉันจะเลี่ยงเล็กน้อยและดูการอนุญาตที่จำเป็นสำหรับแอปยอดนิยมสองแอป: คีย์บอร์ดบุคคลที่หนึ่งของ Google และ SwiftKey ทั้งสองอย่างนี้เป็นแอปพลิเคชั่นคีย์บอร์ด และทั้งคู่สามารถดาวน์โหลดได้ฟรีบน Play Store (อย่างหลังตอนนี้เป็น "freemium" พร้อมธีมแบบเสียเงิน)
แม้ว่าแอปพลิเคชันเหล่านี้จะสามารถเข้าถึงทุกปุ่มที่คุณกดได้โดยตรง ในการป้อนทุก URL ที่คุณเยี่ยมชม ข้อความ หรือส่งอีเมลถึงคุณ send และรหัสผ่านที่คุณพิมพ์ ดูเหมือนว่ามีเพียงไม่กี่คนที่พิจารณาสิทธิ์ที่ใช้โดยแป้นพิมพ์ของพวกเขา และผลที่ตามมา นี้.
แป้นพิมพ์ของ Google
มาดูคีย์บอร์ดของ Google กันดีกว่า โปรดทราบว่าฉันต้องแก้ไขรูปภาพด้านล่าง เนื่องจากเว็บอินเทอร์เฟซของ Play Store พยายามอย่างเต็มที่เพื่อป้องกันไม่ให้คุณเห็นรายการทั้งหมด ของการอนุญาตในมุมมองเดียว แม้จะมีจอภาพขนาด 20 นิ้วในแนวตั้ง แต่ก็ยังเลือกที่จะซ่อนส่วนใหญ่ไว้ในการเลื่อนนี้ ดู. อย่างไรก็ตาม เพื่อความเพลิดเพลินในการรับชมของคุณ เราได้รวบรวมรายการต่างๆ ไว้ในมุมมองเดียว
เรามาดูกันว่าเกิดอะไรขึ้นที่นี่ ก่อนอื่น Google Keyboard สามารถเข้าถึงบัตรข้อมูลติดต่อของคุณและบัญชีบนอุปกรณ์ของคุณได้ ซึ่งหมายความว่ามีความสามารถในการรู้ว่าคุณเป็นใคร และบัญชีอีเมล (และบัญชีอื่น ๆ ) ทั้งหมดที่คุณมีในอุปกรณ์ของคุณ นั่นหมายความว่าพวกเขาสามารถดูว่าคุณมีบัญชี Google/Dropbox/ Twitter/Microsoft Exchange/Facebook ใดในโทรศัพท์ของคุณ ฉันไม่รู้เลยว่าทำไมถึงจำเป็น และทำไมผู้คนถึงยอมให้ข้อมูลนี้
ถัดไป แอปสามารถอ่านรายชื่อติดต่อของคุณได้ ยุติธรรมเพียงพอแล้ว - Google ต้องการเพิ่มชื่อผู้ติดต่อของคุณลงในเครื่องตรวจตัวสะกดและฐานข้อมูลเติมข้อความอัตโนมัติอย่างชัดเจน สิ่งนี้สมเหตุสมผลและเป็นสิ่งที่สมเหตุสมผลสำหรับคีย์บอร์ด ความสามารถในการแก้ไขหรือลบเนื้อหาในที่จัดเก็บข้อมูล USB ค่อนข้างแปลก แต่ถึงแม้จะอนุญาตให้เข้าถึงได้ กับข้อมูลทั้งหมดของคุณที่จัดเก็บไว้ใน "การ์ด SD" ของคุณ น่าเสียดายที่ไม่มีวิธีใดที่จะทำเช่นนี้ได้อย่างละเอียดกว่านี้อีกแล้ว ทาง. ตามหลักการแล้ว Google จะใช้เฉพาะระบบรักษาความปลอดภัยเท่านั้น /data/data ที่เก็บข้อมูลและดังนั้นจึงไม่ต้องการสิ่งนี้ อีกทางหนึ่ง พวกเขาสามารถใช้คอนเทนเนอร์ ASEC เพื่อเพิ่มพื้นที่จัดเก็บข้อมูลบนการ์ด SD ของคุณอย่างโปร่งใส โดยไม่ต้องเข้าถึงไฟล์ตัวตนของคุณบนการ์ด SD
ความสามารถในการดาวน์โหลดไฟล์โดยไม่ต้องแจ้งให้ทราบคือจุดที่เริ่มกังวล - โปรดทราบว่าสิทธิ์เหล่านี้ซ่อนอยู่ที่ด้านล่างของรายการ ดังนั้นคุณต้องเลื่อนเข้าไปถึง พวกเขา. เหตุผลที่แป้นพิมพ์ต้องการความสามารถในการไม่เพียงแค่ดาวน์โหลดไฟล์ แต่ทำโดยไม่ต้องบอกผู้ใช้เป็นเรื่องที่น่ากังวลอย่างแน่นอน จำเป็นต้องดาวน์โหลดข้อมูลจำนวนเท่าใดโดยไม่บอกคุณ?
ความสามารถในการทำงานเมื่อเริ่มต้นระบบเป็นเรื่องปกติ นั่นเป็นสิ่งที่คุณคาดหวังพอสมควรจากแอปพลิเคชันคีย์บอร์ด ในทางกลับกัน การซ่อนตัวอยู่ทันทีหลังจากได้รับอนุญาตที่ไม่มีอันตรายที่สุดอาจเป็นสิ่งที่รุกรานมากที่สุด: การเข้าถึงอินเทอร์เน็ตเต็มรูปแบบ.
ใช่แล้ว ถูกต้องแล้ว แป้นพิมพ์ของ Google สามารถเข้าถึงอินเทอร์เน็ตได้อย่างเต็มที่และไร้ข้อจำกัด รวมถึงการกดแป้นพิมพ์ รายชื่อติดต่อ เนื้อหาในการ์ด SD และตัวตน และรายการการอนุญาตของเราจะบอกทันทีว่าแป้นพิมพ์ของ Google สามารถใช้แป้นพิมพ์ของคุณได้อย่างไม่เป็นอันตราย มีใครคิดว่ามีการ "ซ่อน" การอนุญาตที่น่ารังเกียจเกิดขึ้นที่นี่บ้างไหม?
การอนุญาตสองรายการถัดไปนั้นไม่มีอันตราย และอนุญาตให้เข้าถึงพจนานุกรมที่กำหนดเองของผู้ใช้ได้อีกครั้ง ซึ่งคาดหวังได้จากแอปพลิเคชันแป้นพิมพ์โดยสิ้นเชิง สุดท้ายนี้ จะมีการขอสิทธิ์ในการดูการเชื่อมต่อเครือข่าย ฉันไม่สามารถให้ข้อมูลเชิงลึกได้อีกครั้งว่าเหตุใดจึงต้องทำเช่นนี้ นอกเหนือจากการอำนวยความสะดวกในการอนุญาตอื่น ๆ ที่มีอยู่สำหรับการเข้าถึงอินเทอร์เน็ตโดยที่คุณไม่รู้
ในฐานะคีย์บอร์ด ข้อเสนอของ Google ค่อนข้างได้รับการอนุญาตเป็นอย่างดี จริงๆ แล้ว ณ จุดนี้ ฉันคิดว่าคงเป็นเรื่องยากที่จะหาคีย์บอร์ดที่คำนึงถึงความเป็นส่วนตัวของผู้ใช้ในการเลือกสิทธิ์อนุญาต น่าเสียดายที่ฉันคิดผิด
สวิฟท์คีย์
SwiftKey ซึ่งเพิ่งกลายเป็นแอปพลิเคชั่นฟรีเมื่อเร็ว ๆ นี้ เป็นคีย์บอร์ดของบุคคลที่สามที่ได้รับความนิยมอย่างมาก ซึ่งมักได้รับการยกย่องในเรื่องอัลกอริธึมการทำนายที่สามารถคาดเดาคำถัดไปที่คุณจะใช้ อย่างไรก็ตาม จะต้องเสียค่าใช้จ่ายในการใช้สิทธิ์หรือไม่ ฉันได้ขยายรายการนี้อีกครั้งซึ่งรวมโดยเว็บอินเตอร์เฟสของ Play Store ให้เป็นรายการแบบเลื่อน เพื่อให้คุณสามารถดูการอนุญาตทั้งหมดได้ในคราวเดียว
เมื่อดูอย่างรวดเร็ว SwiftKey ดูเหมือนจะค่อนข้างคล้ายกันในการเลือกสิทธิ์ใน Google Keyboard การเพิ่มการซื้อในแอปเกิดจากการเปิดตัวใหม่เมื่อเร็วๆ นี้ในฐานะแอปฟรี (แทนที่จะเป็นแอปที่ต้องชำระเงินล่วงหน้า) และไม่ได้คำนึงถึงความเป็นส่วนตัวมากนัก
ข้อแตกต่างแรกของเราคือ SwiftKey สามารถเข้าถึงการอ่านข้อความ SMS และ MMS สิ่งนี้สมเหตุสมผลเนื่องจาก SwiftKey มีคุณสมบัติในการเรียนรู้รูปแบบภาษาจากข้อความ น่าเสียดายที่ SwiftKey เป็นแอปพลิเคชันแบบปิด (เช่น Google Keyboard) จึงเป็นเรื่องยากที่จะบอกได้ สิ่งที่ทำกับข้อมูลนี้ - จำเป็นต้องมีตัวเลือกแป้นพิมพ์แบบโอเพ่นซอร์ส คุณภาพสูง และแป้นพิมพ์เพิ่มเติมอย่างแน่นอน ตลาด!
ข้อแตกต่างอีกประการหนึ่งคือ SwiftKey อ้างสิทธิ์ "READ_PHONE_STATE" ที่น่าอับอาย ซึ่งจะทำให้สามารถเข้าถึงตัวระบุ IMEI, IMSI และ SIMID รวมถึงหมายเลขโทรศัพท์ได้และรายละเอียดของอีกฝ่ายในการโทรใดๆ (รวมถึงหมายเลขโทรศัพท์ของพวกเขา) ณ จุดนี้ ฉันคิดไม่ออกว่าจะเพิ่มอะไรที่นี่จริงๆ ว่าทำไม SwiftKey ถึงต้องการข้อมูลนี้ แน่นอนว่าแอปทั้งหมดที่เข้ากันได้กับ Android 1.5 จะแสดงว่าใช้การอนุญาตนี้ เนื่องจากไม่มีการอนุญาตเฉพาะสำหรับสิ่งนี้ในขณะนั้น อย่างไรก็ตาม Android 1.5 เป็นรุ่นเก่าของปี 2009 ดังนั้นจึงไม่มีข้อแก้ตัวใด ๆ สำหรับสิ่งนี้ในปัจจุบัน ฉันทำได้เพียงคาดเดาได้ว่า SwiftKey ได้ตัดสินใจว่าพวกเขาต้องการติดตามผู้ใช้ของตนได้ และจำเป็นต้องมีตัวระบุฮาร์ดแวร์ที่ไม่ซ้ำกัน เช่น IMEI เพื่อดำเนินการดังกล่าว น่าเสียดายที่แม้ว่า Google จะห้ามไม่ให้ใช้ IMEI ในการติดตามโฆษณา (พวกเขาต้องการใช้รหัสโฆษณาที่ผู้ใช้รีเซ็ตได้แทน) แต่ก็ไม่มี การห้ามใช้ตัวระบุอุปกรณ์โดยทั่วไปแบบครอบคลุม ซึ่งสามารถใช้เพื่อติดตามการใช้งานของคุณระหว่างแอปพลิเคชัน และให้วิธีการระบุตัวตนของคุณอย่างต่อเนื่อง อนาคต.
เป็นอีกครั้งที่ SwiftKey นำเสนอการเข้าถึงอินเทอร์เน็ตเต็มรูปแบบ โดยสิทธิ์นั้นซ่อนอยู่ในส่วน "อื่นๆ" ฉันเป็นคนเดียวหรือเปล่าที่กังวลว่า SwiftKey สามารถเข้าถึงอินเทอร์เน็ตได้อย่างเต็มที่ ของข้อมูลอื่นที่เข้าถึง (เช่น ข้อความ SMS รายละเอียดข้อมูลประจำตัวและบัญชีของคุณ และ อีมี่)?
บทสรุป
เห็นได้ชัดเจนจากการดูสั้นๆ เกี่ยวกับการอนุญาตของแป้นพิมพ์ยอดนิยม 2 ตัว โดยอันหนึ่งเป็นของ Google และอีกอันเป็น SwiftKey - มีคำถามสำคัญที่ต้องถามเกี่ยวกับการใช้สิทธิ์ใน Android ที่ "ไวต่อความปลอดภัย" การใช้งาน iOS 8 ของ Apple ตั้งใจที่จะเปิดตัวคีย์บอร์ดของบุคคลที่สามในรุ่นที่กำลังจะมาถึง โดยไม่มีการเชื่อมต่ออินเทอร์เน็ต แอปพลิเคชันเหล่านี้โดยค่าเริ่มต้น และโอกาสสำหรับผู้ใช้ในการปฏิเสธการเข้าถึงอินเทอร์เน็ตด้วยแป้นพิมพ์หากมีการร้องขอ มัน.
บน Android ผู้ใช้หุ้นไม่มีตัวเลือกนี้ โชคดี ถ้าคุณเป็นผู้ใช้รูทที่ใช้ Xposed Framework XPrivacy จะช่วยได้ที่นี่ ฉันได้บล็อกการอนุญาตทั้งหมดจาก SwiftKey ยกเว้นการเข้าถึงพจนานุกรมผู้ใช้และการ์ด SD ของฉัน (ที่เก็บข้อมูล) และมันทำงานได้ดีอย่างแน่นอน ฉันอาจไม่ได้รับ "ข้อดี" ของแป้นพิมพ์ที่เชื่อมต่ออินเทอร์เน็ต (ทำไมแป้นพิมพ์ของฉันต้องการให้ฉันลงชื่อเข้าใช้ G+ เพื่อรับคุณสมบัติ "คลาวด์" เพราะเหตุใดเพื่อความรักของทุกสิ่งที่เป็น Android มันคือคีย์บอร์ด!!)
เห็นได้ชัดว่า Play Store พยายามทำให้ยากต่อการดูว่ามีการอนุญาตอะไรบ้าง ใช้โดยแอป และการเปลี่ยนแปลงใหม่ในการอนุญาตแบบแบ่งหมวดหมู่ก่อให้เกิดความเสี่ยงที่แยกจากกันโดยสิ้นเชิงและสำคัญ เช่น ฉัน ไฮไลท์เมื่อเร็ว ๆ นี้. อาจถึงเวลาแล้วที่ผู้ใช้ที่เชี่ยวชาญทางเทคนิคจะต้องหยุดและทบทวนสิ่งที่พวกเขาติดตั้งไว้ในโทรศัพท์ และแอปใดที่พวกเขาไว้วางใจในการกดแป้นพิมพ์ทั้งหมด คุณพอใจกับคีย์บอร์ดที่เข้าถึงอินเทอร์เน็ตโดยที่คุณไม่รู้หรือไม่? คุณรู้ไหมว่ามันสามารถทำได้เมื่อคุณติดตั้งมัน? มีคำถามมากมาย ถึงเวลาที่ผู้ใช้จะต้องขอคำตอบจากนักพัฒนาซอฟต์แวร์ และควบคุมความเป็นส่วนตัวของตนเอง เนื่องจากเห็นได้ชัดว่า Google และนักพัฒนาแอปไม่สนใจที่จะทำเช่นนี้