SwiftKey dan Google Keyboard: Pernah Mendengar tentang Privasi Pengguna?

Beberapa hari yang lalu, saya menulis sebuah artikel di sini membahas beberapa perubahan dalam penanganan izin Google Play Store, dan bagaimana perubahan ini mungkin memiliki risiko privasi yang merugikan bagi pengguna. Komentar pada artikel itu menunjukkan sejumlah besar kekhawatiran dari pembaca tentang izin yang digunakan oleh aplikasi, dengan banyak yang ingin menggunakan App Ops atau XPrivacy untuk melindungi diri mereka sendiri.

Hari ini, saya akan mengambil jalan memutar sedikit dan melihat izin yang dibutuhkan oleh dua aplikasi populer: keyboard pihak pertama Google, dan SwiftKey. Keduanya adalah aplikasi papan ketik, dan keduanya tersedia untuk diunduh secara gratis di Play Store (yang terakhir sekarang menjadi "freemium" dengan tema berbayar yang tersedia).

Meskipun aplikasi ini memiliki akses langsung ke setiap tombol yang Anda tekan, dalam memasukkan setiap URL yang Anda kunjungi, pesan teks atau Email yang Anda kirim, dan kata sandi yang Anda ketikkan, tampaknya beberapa orang benar-benar mempertimbangkan izin yang digunakan oleh keyboard mereka, dan implikasinya.

Keyboard Google

Mari kita lihat keyboard Google. Perhatikan bahwa saya harus mengedit gambar di bawah, karena antarmuka web Play Store melakukan yang terbaik untuk mencegah Anda melihat daftar lengkap izin dalam satu tampilan, Bahkan dengan monitor 20 in dalam orientasi vertikal, masih memilih untuk menyembunyikan kebanyakan dari mereka dalam tampilan gulir ini. Untuk kesenangan menonton Anda, saya telah menyatukan daftar menjadi satu tampilan.

Mari kita lihat apa yang terjadi di sini. Pertama, Google Keyboard memiliki akses ke kartu kontak Anda sendiri, dan akun di perangkat Anda. Ini berarti ia memiliki kemampuan untuk mengetahui siapa Anda, dan semua akun Email (dan lainnya) yang Anda miliki di perangkat Anda. Itu berarti mereka dapat melihat akun Google / Dropbox / Twitter / Microsoft Exchange / Facebook apa yang tersedia di ponsel Anda. Saya sama sekali tidak tahu mengapa ini diperlukan, atau mengapa orang mau memberikan informasi ini.

Selanjutnya, aplikasi dapat membaca kontak Anda. Itu cukup adil - Google jelas ingin menambahkan nama kontak Anda ke pemeriksa ejaan dan database lengkapi-otomatis. Ini masuk akal, dan merupakan sesuatu yang dapat dibenarkan untuk keyboard. Kemampuan untuk mengubah atau menghapus isi penyimpanan USB agak aneh, tetapi sementara itu memungkinkan akses ke semua data Anda yang tersimpan di "kartu SD, " sayangnya tidak ada cara nyata untuk melakukan ini dengan cara yang lebih terperinci. Idealnya, Google hanya akan menggunakan penyimpanan data / data yang aman, dan karenanya tidak memerlukan ini. Atau, mereka dapat menggunakan wadah ASEC untuk secara transparan mendapatkan lebih banyak ruang penyimpanan pada kartu SD Anda, tanpa memerlukan akses apa pun ke file persona Anda pada kartu SD.

Kemampuan untuk mengunduh file tanpa pemberitahuan adalah hal yang mulai menjadi perhatian - perhatikan bahwa izin ini tersimpan di bagian bawah daftar, jadi Anda harus menggulir untuk menjangkau mereka. Cukup mengapa keyboard membutuhkan kemampuan untuk tidak hanya mengunduh file, tetapi melakukannya tanpa memberi tahu pengguna, tentu mengkhawatirkan. Berapa banyak data yang benar-benar perlu diunduh tanpa memberi tahu Anda?

Kemampuan untuk berjalan saat startup baik-baik saja. Itu adalah sesuatu yang Anda harapkan dari aplikasi keyboard. Di sisi lain, terselip, segera setelah mungkin izin yang paling tidak berbahaya, adalah yang paling invasif: akses internet penuh .

Ya, itu benar, Keyboard Google memiliki akses penuh dan tidak terbatas ke Internet, serta penekanan tombol, dan kontak, dan konten kartu SD, dan identitas Anda. Dan daftar izin kami langsung melompat mengatakan bahwa Google Keyboard dapat menggunakan keyboard Anda tanpa bahaya. Adakah yang berpikir ada sedikit "menyembunyikan" izin jahat yang terjadi di sini?

Dua izin berikutnya tidak berbahaya, dan memungkinkan akses ke kamus khusus pengguna — sekali lagi, benar-benar diharapkan dari aplikasi keyboard. Akhirnya, izin untuk melihat koneksi jaringan diminta. Sekali lagi saya tidak dapat menawarkan wawasan mengapa ada kebutuhan untuk ini, selain untuk memfasilitasi izin yang ada lainnya untuk mengakses Internet tanpa sepengetahuan Anda.

Sebagai keyboard, penawaran Google ironisnya cukup diberkahi dengan izin. Memang, pada titik ini, saya pikir akan sulit untuk menemukan keyboard yang bahkan kurang memperhatikan privasi pengguna dalam pemilihan izinnya. Sayangnya, saya salah.

Swiftkey

SwiftKey, yang baru-baru ini menjadi aplikasi gratis, adalah papan ketik pihak ketiga yang sangat populer, sering dipuji karena algoritma prediksinya mampu memprediksi kata berikutnya yang akan Anda gunakan. Namun, apakah ini harus dibayar dengan biaya penggunaannya? Sekali lagi, saya telah memperluas daftar ini, yang digulung oleh antarmuka web Play Store menjadi daftar gulir, sehingga Anda dapat melihat semua izin sekaligus.

Sekilas, SwiftKey tampaknya cukup mirip dalam pemilihan izinnya untuk Google Keyboard. Penambahan Pembelian Dalam Aplikasi adalah karena peluncuran ulang baru-baru ini sebagai aplikasi gratis (bukan aplikasi berbayar di muka), dan tidak terlalu mempedulikan privasi.

Perbedaan pertama kami adalah SwiftKey memiliki akses untuk membaca pesan SMS dan MMS. Ini masuk akal, mengingat SwiftKey memiliki fitur untuk mempelajari pola bahasa dari pesan. Sayangnya, mengingat SwiftKey adalah aplikasi sumber tertutup (seperti Google Keyboard), sulit untuk mengetahui dengan pasti apa yang dilakukan dengan data ini – lebih banyak sumber terbuka, kualitas tinggi, pilihan papan ketik jelas dibutuhkan di pasar!

Perbedaan lainnya adalah SwiftKey mengklaim izin "READ_PHONE_STATE" yang terkenal itu. Ini memberikan akses ke pengidentifikasi IMEI, IMSI, dan SIMID Anda, serta nomor telepon, dan detail pihak lain dalam panggilan apa pun (termasuk nomor telepon mereka). Pada titik ini, saya benar-benar tidak bisa memikirkan apa pun untuk ditambahkan di sini mengapa SwiftKey mungkin membutuhkan data ini. Tentu, semua aplikasi yang kompatibel dengan Android 1.5 ditampilkan menggunakan izin ini, karena tidak ada izin khusus untuk ini saat itu. Android 1.5 adalah peninggalan dari tahun 2009, jadi tidak ada alasan untuk ini hadir hari ini. Saya hanya dapat menduga bahwa SwiftKey, dalam kebijaksanaan mereka yang tak terbatas, telah memutuskan bahwa mereka ingin dapat melacak pengguna mereka, dan perlu memiliki pengidentifikasi perangkat keras yang unik seperti IMEI untuk melakukannya. Sayangnya, sementara Google melarang penggunaan IMEI untuk pelacakan iklan (mereka menginginkan ID iklan yang dapat disetel ulang oleh pengguna sebagai gantinya), mereka tidak memiliki larangan total terhadap penggunaan pengidentifikasi perangkat pada umumnya, yang dapat digunakan untuk melacak Anda penggunaan antar aplikasi, dan menyediakan cara yang gigih untuk mengidentifikasi Anda di masa depan.

Sekali lagi, SwiftKey menampilkan akses Internet penuh, izin yang tersimpan di bagian "lain". Apakah saya satu-satunya yang agak khawatir bahwa SwiftKey memiliki akses penuh ke Internet, serta semua data lain yang diaksesnya (seperti pesan SMS, perincian identitas dan akun Anda, dan IMEI)?

Kesimpulan

Jelas dari hanya melihat sekilas izin dua keyboard populer - satu menjadi milik Google, dan satu menjadi SwiftKey - bahwa ada beberapa pertanyaan besar yang harus ditanyakan tentang penggunaan izin dalam aplikasi Android "yang sensitif terhadap keamanan". Apple iOS 8 bermaksud untuk memperkenalkan keyboard pihak ketiga dalam rilis yang akan datang, tanpa akses internet tersedia untuk aplikasi ini secara default, dan kesempatan bagi pengguna untuk menolak akses keyboard ke internet jika diminta.

Di Android, pengguna saham tidak memiliki opsi ini. Untungnya, jika Anda adalah pengguna root yang menjalankan Xposed Framework, XPrivacy membantu di sini. Saya telah memblokir setiap izin dari SwiftKey, dengan pengecualian mengakses kamus pengguna dan kartu SD saya (tempat menyimpan datanya), dan beroperasi dengan sangat baik. Saya mungkin tidak mendapatkan "keuntungan" dari keyboard yang tersambung ke Internet (mengapa, untuk semua yang menyukai Android, apakah keyboard saya ingin saya masuk ke G + untuk mendapatkan fitur "cloud"? Ini keyboard !!)

Jelas bahwa Play Store tentu berusaha menyulitkan untuk melihat izin apa yang digunakan oleh aplikasi, dan perubahan baru pada izin yang dikategorikan menimbulkan risiko yang sepenuhnya terpisah dan signifikan, seperti yang saya soroti baru-baru ini. Mungkin sudah waktunya bagi pengguna yang mengerti teknis untuk berhenti dan mencari tahu apa yang telah mereka instal di ponsel mereka, dan aplikasi apa yang mereka percayai dengan semua penekanan tombol mereka. Apakah Anda senang dengan keyboard Anda mengakses Internet tanpa sepengetahuan Anda? Tahukah Anda itu bisa melakukan itu ketika Anda menginstalnya? Banyak pertanyaan, sudah waktunya bagi pengguna untuk meminta jawaban dari pengembang, dan mengendalikan privasi mereka sendiri, karena sudah jelas Google dan pengembang aplikasi tidak tertarik untuk melakukan ini.