Birkaç gün önce ben buraya bir makale yazdım Google Play Store izinlerinin işlenmesindeki bazı değişiklikleri ve bu değişikliklerin kullanıcılar için nasıl olumsuz gizlilik risklerine yol açabileceğini tartışıyoruz. Bu makaleye yapılan yorumlar okuyucuların konuyla ilgili büyük bir endişeye sahip olduğunu gösteriyordu. izinler uygulamalar tarafından kullanılıyor ve çoğu kişi koruma sağlamak için App Ops veya XPrivacy'yi kullanmayı düşünüyor kendileri.
Bugün biraz dolaşacağım ve iki popüler uygulamanın ihtiyaç duyduğu izinlere bakacağım: Google'ın birinci taraf klavyesi ve SwiftKey. Bunların her ikisi de klavye uygulamalarıdır ve her ikisi de Play Store'dan ücretsiz olarak indirilebilir (ikincisi artık "ücretsiz"dir ve ücretli temalar mevcuttur).
Bu uygulamaların bastığınız her tuşa doğrudan erişimi olmasına rağmen, ziyaret ettiğiniz her URL'yi, kısa mesajı veya e-postayı girerken Gönderdiğiniz şifreye ve yazdığınız şifreye baktığınızda, çok az kişinin klavye tarafından kullanılan izinleri ve bunların sonuçlarını dikkate aldığı görülüyor. Bu.
Google Klavye
Google'ın klavyesine bir göz atalım. Play Store web arayüzü tam listeyi görmenizi engellemek için elinden geleni yaptığından aşağıdaki görseli düzenlemek zorunda kaldığımı unutmayın. tek bir görünümde izinlerin çoğu, dikey yöndeki 20 inçlik bir monitörde bile çoğunu bu kaydırma içinde gizlemeyi seçti görüş. Ancak izleme keyfiniz için listeyi tek bir görünümde bir araya getirdim.
Burada neler olduğuna bir göz atalım. Öncelikle Google Klavye'nin kendi kişi kartınıza ve cihazınızdaki hesaplara erişimi vardır. Bu, kim olduğunuzu ve cihazınızda bulunan tüm E-posta (ve diğer) hesapları bilme yeteneğine sahip olduğu anlamına gelir. Bu, telefonunuzda hangi Google/Dropbox/Twitter/Microsoft Exchange/Facebook hesaplarının bulunduğunu görmelerinin mümkün olduğu anlamına gelir. Buna neden ihtiyaç duyulduğuna ya da insanların neden bu bilgiyi vermeye istekli olduklarına dair hiçbir fikrim yok.
Daha sonra uygulama kişilerinizi okuyabilir. Bu yeterince adil; Google açıkça kişi adlarınızı yazım denetleyici ve otomatik tamamlama veritabanlarına eklemek istiyor. Bu mantıklıdır ve bir klavye için haklı görülebilir bir şeydir. USB depolama biriminin içeriğini değiştirme veya silme yeteneği biraz tuhaftır, ancak erişime izin vermesine rağmen "SD kartınızda" depolanan tüm verilerinize erişim sağlamak için ne yazık ki bunu daha ayrıntılı bir şekilde yapmanın gerçek bir yolu yok yol. İdeal durumda Google yalnızca güvenli olanı kullanır /data/data depolama alanıdır ve bu nedenle buna ihtiyaç duymaz. Alternatif olarak, SD kartınızdaki kişisel dosyalarınıza herhangi bir erişim gerektirmeden, SD kartınızda şeffaf bir şekilde daha fazla depolama alanı elde etmek için ASEC konteynerlerini kullanabilirler.
Dosyaları bildirimde bulunmadan indirme yeteneği, endişe verici olmaya başladığı yerdir - bu izinlerin listenin en altında yer aldığını unutmayın; bu nedenle, erişime ulaşmak için kaydırma yapmanız gerekir. onlara. Bir klavyenin yalnızca dosya indirme yeteneğine değil, aynı zamanda kullanıcıya haber vermeden bunu yapmasına neden ihtiyaç duyması kesinlikle endişe vericidir. Size söylemeden gerçekten ne kadar veri indirmesi gerekiyor?
Başlangıçta çalıştırma yeteneği gayet iyi. Bu bir klavye uygulamasından makul olarak bekleyeceğiniz bir şeydir. Öte yandan, belki de en zararsız iznin hemen ardından gizlenen, en istilacı olanıdır: tam İnternet erişimi.
Evet, doğru, Google Klavye, tuş vuruşlarınıza, kişilerinize, SD kart içeriklerine ve kimliğinizin yanı sıra İnternet'e de tam ve sınırsız erişime sahiptir. Ve izin listemiz hemen Google Klavye'nin klavyenizi zararsız bir şekilde kullanabileceğini söylüyor. Burada kötü izinlerin biraz "saklandığını" düşünen var mı?
Sonraki iki izin zararsızdır ve yine tamamen bir klavye uygulamasından beklenen, kullanıcının özel sözlüğüne erişim sağlar. Son olarak ağ bağlantılarını görüntüleme izni istenir. Bilginiz olmadan İnternet'e erişim için mevcut diğer izinleri kolaylaştırmak dışında buna neden ihtiyaç duyulduğuna dair bir kez daha herhangi bir fikir sunamam.
Bir klavye olarak, Google'ın teklifi ironik bir şekilde oldukça iyi izinlerle donatılmıştır. Aslında bu noktada izin seçiminde kullanıcı gizliliğine daha az önem veren bir klavye bulmanın zor olacağını düşündüm. Maalesef yanılmışım.
Swiftkey
Yakın zamanda ücretsiz bir uygulama haline gelen SwiftKey, çok popüler bir üçüncü taraf klavyesidir ve genellikle kullanacağınız bir sonraki kelimeyi tahmin edebilen tahmin algoritmasıyla övülmektedir. Ancak bunun izin kullanımı açısından bir maliyeti var mı? Play Store web arayüzü tarafından kaydırılan bu listeyi bir kez daha genişleterek tüm izinleri aynı anda görebilmenizi sağladım.
Hızlı bir bakışta SwiftKey, izin seçiminde Google Klavye'ye oldukça benzer görünüyor. Uygulama İçi Satın Almaların eklenmesi, yakın zamanda ücretsiz bir uygulama olarak yeniden başlatılmasından kaynaklanmaktadır (ön ödemeli bir uygulama yerine) ve gizlilik açısından büyük bir endişe kaynağı değildir.
İlk farkımız SwiftKey'in SMS ve MMS mesajlarını okuma erişimine sahip olmasıdır. SwiftKey'in mesajlardan dil kalıplarını öğrenme özelliğine sahip olduğu göz önüne alındığında bu mantıklıdır. Ne yazık ki SwiftKey'in kapalı kaynak bir uygulama olduğu (Google Klavye gibi) göz önüne alındığında bunu söylemek zor bu verilerle tam olarak ne yapılıyor - daha açık kaynak, yüksek kaliteli klavye seçeneklerine kesinlikle ihtiyaç var pazar!
Diğer bir fark ise SwiftKey'in kötü şöhretli "READ_PHONE_STATE" iznini talep etmesidir. Bu, IMEI, IMSI ve SIMID tanımlayıcılarınızın yanı sıra telefon numaralarınıza da erişim sağlarve herhangi bir çağrıdaki karşı tarafın ayrıntıları (telefon numarası dahil). Bu noktada SwiftKey'in neden bu verilere ihtiyaç duyabileceği konusunda buraya ekleyebileceğim hiçbir şey aklıma gelmiyor. Elbette, Android 1.5 ile uyumlu tüm uygulamalar bu izni kullanıyor olarak gösteriliyor çünkü o zamanlar buna özel bir izin yoktu. Ancak Android 1.5 2009'dan kalan bir sürüm, dolayısıyla bunun bugün mevcut olması için hiçbir mazeret yok. SwiftKey'in sonsuz bilgeliğiyle kullanıcılarını takip edebilmek istediğine karar verdiğini ve bunu yapmak için IMEI gibi benzersiz bir donanım tanımlayıcısına ihtiyaç duyduğunu ancak tahmin edebilirim. Ne yazık ki Google, IMEI'nin reklam takibi için kullanılmasını yasaklasa da (bunun yerine kullanıcı tarafından sıfırlanabilen reklam kimliklerinin kullanılmasını istiyorlar), Uygulamalar arasındaki kullanımınızı takip etmek için kullanılabilecek ve kimliğinizin kalıcı olarak belirlenmesini sağlayan cihaz tanımlayıcılarının genel olarak kullanımına genel bir yasak getirilmesi gelecek.
SwiftKey bir kez daha "diğer" bölümünde gizlenen bir izin olan tam İnternet erişimine sahipti. SwiftKey'in İnternet'e tam erişime sahip olmasından biraz endişe duyan tek kişi ben miyim? eriştiği diğer veriler (SMS mesajları, kimlik bilgileriniz ve hesaplarınız ve IMEI)?
Çözüm
Biri Google'ın, diğeri Google'ın olmak üzere iki popüler klavyenin izinlerine kısa bir bakışla bunu açıkça görebilirsiniz. SwiftKey--"güvenliğe duyarlı" Android'de izinlerin kullanımı hakkında sorulması gereken bazı önemli sorular var uygulamalar. Apple'ın iOS 8'i gelecek sürümde internet erişimi olmayan üçüncü taraf klavyeleri tanıtmayı planlıyor varsayılan olarak bu uygulamalar ve kullanıcının isterse internete klavye erişimini reddetme fırsatı BT.
Android'de hisse senedi kullanıcılarının bu seçeneği yoktur. Neyse ki, Xposed Framework'ü çalıştıran köklü bir kullanıcıysanız, XPrivacy burada yardımcı olur. Kullanıcı sözlüğüme ve SD kartıma (verilerini sakladığı yere) erişim dışında SwiftKey'den gelen tüm izinleri engelledim ve kesinlikle sorunsuz çalışıyor. İnternete bağlı bir klavyenin "avantajlarından" yararlanamayabilirim (neden Android aşkına, klavyem "bulut" özelliklerinden yararlanmak için G+'da oturum açmamı istiyor? Bu bir klavye!!)
Play Store'un kesinlikle hangi izinlerin verildiğini görmeyi zorlaştırmaya çalıştığı açık uygulamalar tarafından kullanılan izinler ve kategorize edilmiş izinlerdeki yeni değişiklikler tamamen ayrı ve önemli riskler teşkil etmektedir; BEN son zamanlarda vurgulandı. Belki de teknik açıdan bilgili kullanıcıların durup telefonlarına ne yüklediklerini ve tüm tuş vuruşlarında hangi uygulamalara güvendiklerini değerlendirmelerinin zamanı gelmiştir. Klavyenizin bilginiz olmadan internete erişmesinden memnun musunuz? Kurulum sırasında bunu yapabileceğini biliyor muydunuz? Pek çok soru var, artık kullanıcıların geliştiricilerden yanıt talep etmelerinin ve kendi gizliliklerinin kontrolünü ellerine almalarının zamanı geldi, çünkü Google ve uygulama geliştiricilerinin bunu yapmakla ilgilenmediği açık.