SwiftKey i klawiatura Google: Czy słyszałeś kiedyś o prywatności użytkowników?

Kilka dni temu napisałem tutaj artykuł omawiający niektóre zmiany w obsłudze uprawnień do Sklepu Google Play oraz o tym, jak te zmiany mogą mieć negatywne ryzyko dla prywatności użytkowników. Komentarze do tego artykułu wskazywały na ogromną troskę czytelników o uprawnienia używane przez aplikacje, przy czym wielu chce używać App Ops lub XPrivacy do ochrony siebie.

Dziś zrobię lekki objazd i spojrzę na uprawnienia potrzebne dwóm popularnym aplikacjom: pierwszej klawiaturze Google i SwiftKey. Oba są aplikacjami na klawiaturę i oba są dostępne do pobrania za darmo w Sklepie Play (ten ostatni jest teraz „freemium” z dostępnymi motywami płatnymi).

Pomimo tego, że aplikacje mają bezpośredni dostęp do każdego naciśniętego klawisza, przy wprowadzaniu każdego odwiedzanego adresu URL, wiadomości tekstowej lub e-mail, którą wysyłasz, i wpisywanego hasła, wydaje się, że niewiele osób bierze pod uwagę uprawnienia używane przez ich klawiaturę i implikacje tego.

Klawiatura Google

Rzućmy okiem na klawiaturę Google. Zwróć uwagę, że musiałem edytować poniższy obraz, ponieważ interfejs internetowy Sklepu Play robi wszystko, aby uniemożliwić wyświetlenie pełnej listy uprawnień w jednym widoku, nawet przy 20-calowym monitorze w orientacji pionowej nadal postanowił się ukryć większość z nich w tym przewijanym widoku. Dla twojej przyjemności oglądania zestawiłem jednak listę w jeden widok.

Rzućmy okiem na to, co się tutaj dzieje. Po pierwsze, Klawiatura Google ma dostęp do Twojej karty kontaktowej i kont na Twoim urządzeniu. Oznacza to, że może on wiedzieć, kim jesteś, oraz wszystkie konta e-mail (i inne) dostępne na Twoim urządzeniu. Oznacza to, że mogą zobaczyć, jakie konta Google / Dropbox / Twitter / Microsoft Exchange / Facebook masz w telefonie. Nie mam pojęcia, dlaczego jest to potrzebne, ani dlaczego ludzie są skłonni przekazać te informacje.

Następnie aplikacja może czytać Twoje kontakty. To dość sprawiedliwe - Google oczywiście chce dodać twoje kontakty do sprawdzania pisowni i autouzupełniania baz danych. Ma to sens i jest uzasadnione dla klawiatury. Możliwość modyfikowania lub usuwania zawartości pamięci USB jest nieco dziwna, ale chociaż umożliwia dostęp do wszystkich danych przechowywanych na „karcie SD”, niestety nie ma prawdziwego sposobu, aby to zrobić w bardziej szczegółowy sposób. Idealnie byłoby, gdyby Google używał tylko bezpiecznego / danych / przechowywania danych, a zatem nie potrzebowałby tego. Alternatywnie, mogą użyć kontenerów ASEC, aby transparentnie uzyskać więcej miejsca na karcie SD, bez konieczności dostępu do plików osób na karcie SD.

Możliwość pobierania plików bez powiadomienia zaczyna się odpowiednio dotyczyć - pamiętaj, że te uprawnienia są schowane na dole listy, więc musisz je przewinąć, aby je uzyskać. Zupełnie niepokojące jest to, dlaczego klawiatura wymaga nie tylko pobierania plików, ale także robienia tego bez informowania użytkownika. Ile danych tak naprawdę potrzebuje do pobrania bez powiadomienia?

Możliwość uruchomienia przy starcie jest w porządku. Tego można się spodziewać po aplikacji na klawiaturze. Z drugiej strony, schowany, zaraz po być może najbardziej nieszkodliwym pozwoleniu, jest najbardziej inwazyjny: pełny dostęp do Internetu .

Tak, zgadza się, klawiatura Google ma pełny i nieograniczony dostęp do Internetu, a także naciśnięcia klawiszy, kontakty i zawartość karty SD oraz tożsamość. Nasza lista uprawnień natychmiast mówi, że Klawiatura Google może nieszkodliwie korzystać z klawiatury. Czy ktoś myśli, że dzieje się tu trochę „ukrywania” paskudnych uprawnień?

Kolejne dwa uprawnienia są nieszkodliwe i umożliwiają dostęp do niestandardowego słownika użytkownika - znowu, całkowicie oczekiwane od aplikacji klawiatury. Wreszcie wymagane jest pozwolenie na przeglądanie połączeń sieciowych. Po raz kolejny nie mogę zaoferować żadnego wglądu, dlaczego jest to potrzebne, poza ułatwieniem innych istniejących uprawnień dostępu do Internetu bez Twojej wiedzy.

Jako klawiatura oferta Google jest ironicznie dość dobrze wyposażona w uprawnienia. Rzeczywiście, w tym momencie pomyślałem, że przy wyborze uprawnień trudno będzie znaleźć klawiaturę, która jeszcze mniej uwzględnia prywatność użytkowników. Niestety się myliłem.

Swiftkey

SwiftKey, który niedawno stał się darmową aplikacją, jest bardzo popularną klawiaturą strony trzeciej, często chwaloną za algorytm przewidywania, który potrafi przewidzieć następne słowo, którego użyjesz. Czy wiąże się to jednak z kosztem korzystania z uprawnień? Po raz kolejny rozwinąłem tę listę, która została zwinięta przez interfejs internetowy Sklepu Play, do przewijanej listy, abyś mógł zobaczyć wszystkie uprawnienia naraz.

Na pierwszy rzut oka SwiftKey wydaje się dość podobny pod względem wyboru uprawnień do Klawiatury Google. Dodanie zakupów w aplikacji wynika z niedawnego ponownego uruchomienia go jako bezpłatnej aplikacji (zamiast aplikacji płatnej z góry) i nie ma wielkiego wpływu na prywatność.

Naszą pierwszą różnicą jest to, że SwiftKey ma dostęp do odczytu wiadomości SMS i MMS. Ma to sens, ponieważ SwiftKey ma funkcję uczenia się wzorców językowych z wiadomości. Niestety, biorąc pod uwagę, że SwiftKey jest aplikacją o zamkniętym źródle (np. Klawiatura Google), trudno jest dokładnie powiedzieć, co się dzieje z tymi danymi - zdecydowanie więcej dostępnych na rynku opcji na klawiaturze wymaga więcej otwartych źródeł, wysokiej jakości i klawiatury!

Kolejna różnica polega na tym, że SwiftKey twierdzi, że niesławne zezwolenie „READ_PHONE_STATE”. Daje to dostęp do identyfikatorów IMEI, IMSI i SIMID, a także numerów telefonów i danych drugiej strony podczas wszelkich połączeń (w tym ich numeru telefonu). W tym momencie naprawdę nie mogę wymyślić niczego, co mógłby tu dodać, dlaczego SwiftKey może potrzebować tych danych. Jasne, wszystkie aplikacje kompatybilne z Androidem 1.5 są wyświetlane jako korzystające z tego uprawnienia, ponieważ w tym czasie nie było na to specjalnego uprawnienia. Android 1.5 jest jednak reliktem z 2009 roku, więc nie ma usprawiedliwienia dla tego, że jest dziś obecny. Mogę tylko przypuszczać, że SwiftKey, w swojej nieskończonej mądrości, zdecydował, że chciałby móc śledzić swoich użytkowników i potrzebował do tego unikalnego identyfikatora sprzętowego, takiego jak IMEI. Niestety, podczas gdy Google zabrania korzystania z IMEI do śledzenia reklam (zamiast tego chcą, aby ich identyfikator reklamowy resetowany przez użytkownika był używany), nie ma ogólnego zakazu używania identyfikatorów urządzeń w ogóle, których można użyć do śledzenia Twojego wykorzystanie między aplikacjami i zapewniają trwałe środki umożliwiające identyfikację użytkownika w przyszłości.

Po raz kolejny SwiftKey miał pełny dostęp do Internetu, pozwolenie schowane w sekcji „inne”. Czy jestem jedyną osobą, która jest nieco zaniepokojona tym, że SwiftKey ma pełny dostęp do Internetu, a także do wszystkich innych danych, do których ma dostęp (takich jak wiadomości SMS, dane osobowe i konta oraz IMEI)?

Wniosek

Już po krótkim spojrzeniu na uprawnienia dwóch popularnych klawiatur - jednej należącej do Google, a drugiej SwiftKey - należy odpowiedzieć na kilka ważnych pytań dotyczących korzystania z uprawnień w „wrażliwych na bezpieczeństwo” aplikacjach na Androida. IOS 8 firmy Apple zamierza wprowadzić klawiatury innych firm w nadchodzącym wydaniu, domyślnie brak dostępu do Internetu dla tych aplikacji oraz możliwość odmowy dostępu klawiatury do Internetu, jeśli zażąda tego.

W systemie Android użytkownicy giełdowi nie mają tej opcji. Na szczęście, jeśli jesteś zrootowanym użytkownikiem korzystającym z Xposed Framework, XPrivacy pomaga tutaj. Zablokowałem wszystkie uprawnienia SwiftKey, z wyjątkiem dostępu do mojego słownika użytkownika i karty SD (tam, gdzie przechowuje swoje dane) i działa absolutnie dobrze. Może nie dostaję „zalet” klawiatury podłączonej do Internetu (dlaczego, z miłości do wszystkiego, co jest z Androidem, moja klawiatura chce, żebym zalogował się w G +, aby uzyskać funkcje „chmury”? To klawiatura !!)

Oczywiste jest, że Sklep Play z pewnością utrudnia sprawdzenie, jakie uprawnienia są używane przez aplikacje, a nowe zmiany w uprawnieniach skategoryzowanych stanowią zupełnie odrębne i znaczące ryzyko, jak niedawno podkreśliłem. Może nadszedł czas, aby technicznie zorientowani użytkownicy przestali i podsumowali to, co zainstalowali na swoim telefonie i jakie aplikacje ufają przy wszystkich naciśnięciach klawiszy. Czy Twoja klawiatura korzysta z Internetu bez Twojej wiedzy? Czy wiesz, że może to zrobić po zainstalowaniu? Wiele pytań, czas, aby użytkownicy żądali odpowiedzi od programistów i przejmowali kontrolę nad swoją prywatnością, ponieważ jest jasne, że Google i twórcy aplikacji nie są zainteresowani tym.