Ως χρήστης εφαρμογών σε/για Android θα πρέπει να γνωρίζεις το είδος των δεδομένων που οι εφαρμογές που χρησιμοποιείς παίρνουν από εσένα. Πάνω από όλα και πρώτα από όλα, θα πρέπει να αρχίσεις να διαβάζεις με περισσότερη προσοχή το τι δικαιώματα και άδειες παραχωρείς σε αυτές τις εφαρμογές που έχεις κατεβάσει στο τηλέφωνό σου, αλλιώς ο κίνδυνος του να εκθέσεις τον εαυτό σου σε παραβιάσεις πάνω σε θέματα ιδιωτικότητας και ασφάλειας θα είναι ιδιαίτερα μεγάλος.
Σε αυτόν εδώ τον οδηγό, θα ρίξουμε φως πάνω σε ορισμένα από τα δικαιώματα εφαρμογών (app permissions), πάνω στα οποία θα πρέπει να δώσεις μεγαλύτερη προσοχή και στο ποια από αυτά είναι έγκυρα δικαιώματα που οι εφαρμογές είναι υποχρεωμένες να ζητήσουν από εσένα.
Με λίγη επαγρύπνηση, είναι απολύτως δυνατό να ελαχιστοποιηθούν οι κίνδυνοι, μαθαίνοντας το πώς να διαχειρίζεσαι καλύτερα τα δικαιώματα εφαρμογών (και να γνωρίζεις το πώς να τα ανακαλέσεις, εάν κάτι τέτοιο είναι απαραίτητο). Ας ρίξουμε λοιπόν μια ματιά πάνω στα δικαιώματα εφαρμογών στο/για Android και το τι πρέπει/μπορούμε να κάνουμε γι’ αυτά.
Τι είναι τα δικαιώματα εφαρμογών;
Πρώτα από όλα, τα δικαιώματα εφαρμογών σε/για Android δεν είναι αιτήματα (requests), είναι δηλώσεις (declarations). Αν δεν είσαι rooted (δηλ. δεν έχεις τα δικαιώματα του ανώτατου χρήστη, του root), δεν έχεις κανένα λόγο πάνω σε αυτά -εκτός από το να επιλέξεις να μην εγκαταστήσεις καθόλου την όποια εφαρμογή- και η εφαρμογή θα λάβει όλα τα δικαιώματα που θέλει.
Όταν εγκαθιστάς μια εφαρμογή από το Play Store, θα εμφανιστεί ένα αναδυόμενο παράθυρο με μια λίστα με όλα τα δικαιώματα που η εφαρμογή απαιτεί να λάβει, μια λίστα με πράγματα όπως, η πρόσβαση στον αποθηκευτικό σου χώρο, στις τηλεφωνικές κλήσεις, στην επικοινωνία δικτύου κλπ. Πάντα να διαβάζεις διεξοδικά αυτήν την λίστα.
Είναι πολύ συνηθισμένο να αντιμετωπίζεται αυτή η λίστα με την αίτηση παραχώρησης δικαιωμάτων όπως αντιμετωπίζεται και μια EULA (η μακροσκελής άδεια χρήσης με όλους εκείνους τους πολυδαίδαλους όρους χρήσης μιας εφαρμογής, την οποία κανείς δεν διαβάζει ποτέ), αλλά το να παραχωρήσεις αυτά τα δικαιώματα θα μπορούσε να σημάνει τη διαφορά μεταξύ του να έχεις τα δεδομένα σου ασφαλή στην συσκευή σου ή του να τα παραδώσεις στα χέρια διάφορων αδίστακτων κατασκευαστών εφαρμογών.
5 δικαιώματα που θα πρέπει να είσαι πολύ προσεκτικός με αυτά
Υπάρχουν μερικά δικαιώματα που θα πρέπει να είσαι πολύ προσεκτικός και επιφυλακτικός με την παραχώρησή τους, όχι επειδή είναι απαραιτήτως επικίνδυνα, αλλά επειδή θα μπορούσαν να υπάρξουν ευρείες επιπτώσεις εάν τα δεδομένα από αυτά τα δικαιώματα πέσουν σε λάθος χέρια. Έχε υπόψιν σου ότι αυτά δεν είναι τα μόνα δικαιώματα για τα οποία θα πρέπει να ανησυχείς ιδιαίτερα -αλλά είναι μια αρχή.
Αν θέλεις να μάθεις περισσότερα μπορείς να δεις μια λίστα και μια συζήτηση σχετικά με τα δικαιώματα εφαρμογών σε/για Android από το χρήστη του AndroidForums.com με την ονομασία Alostpacket. Υπάρχει επίσης ένας λεπτομερής κατάλογος με όλα τα δικαιώματα στην επίσημη σελίδα του Android Developers. Οι περισσότερες πληροφορίες που παραθέτουμε εδώ προέρχονται από αυτές τις δύο πηγές.
1. Τοποθεσία (Location)
Υπάρχουν δύο τύποι παραχώρησης δικαιωμάτων σχετικά με την γεωγραφική τοποθεσία που οι Android εφαρμογές μπορούν να απαιτήσουν: την κατά προσέγγιση θέση (βάσει δικτύου) / “approximate location (network-based)” και την ακριβής θέση (GPS και βάσει δικτύου) / “precise location (GPS and network-based)”.
Γιατί χρειάζονται οι εφαρμογές την ακριβή σου θέση; Λοιπόν, οι εφαρμογές πλοήγησης όπως το Waze απαιτούν αυτές τις πληροφορίες για να μπορέσουν να λειτουργήσουν. Ομοίως οι εφαρμογές για τα social media θέλουν να συμπεριλάβουν την τοποθεσία σου στις φωτογραφίες και σε αυτά που ανεβάζεις. Κυρίως, εφαρμογές που υλοποιούν διαφήμιση που στοχεύει σε γεωγραφικές περιοχές είναι εκείνες που επίσης χρειάζονται πρόσβαση σε αυτές τις πληροφορίες. Είναι απλά μία από τις πολλές θυσίες που έχεις να κάνεις όταν χρησιμοποιείς δωρεάν, από την διαφήμιση υποστηριζόμενες εφαρμογές (παρόλα αυτά ούτε εσύ είσαι υποχρεωμένος να παραχωρήσεις αυτό το δικαίωμα αλλά ούτε και οι εφαρμογές δεν θα πρέπει να χρησιμοποιούν αυτό το δικαίωμα για άλλους σκοπούς, όπως πχ. να καταγράφουν το που βρίσκεσαι συνεχώς και να σε παρακολουθούν, αναφέροντας σε κάποιον άλλον χωρίς την συγκατάθεσή σου).
2. Κατάσταση και ταυτότητα τηλεφώνου (Phone status and identity)
Αυτή είναι μια προβληματική παραχώρηση δικαιώματος, επειδή η “ανάγνωση της κατάστασης και της ταυτότητας του τηλεφώνου” περιλαμβάνει τα πάντα, από κάτι το αβλαβές όπως το να ξέρουμε το πότε έρχεται μια εισερχόμενη κλήση μέχρι σε πιο ζωτικής σημασίας στοιχεία όπως είναι ο αριθμός IMEI της συσκευής σου (International Mobile Station Equipment Identity
Ενώ αυτή η παραχώρηση δικαιώματος είναι συχνά ασφαλής, η δυνατότητα για την κατάχρηση της είναι τεράστια, γιαυτό θέλει ιδιαίτερα μεγάλη προσοχή στο πώς την αποδίδουμε όταν οι εφαρμογές απαιτούν να αποκτήσουν αυτό το δικαίωμα. Εάν δεν φαίνεται να υπάρχει κάποιος πραγματικός λόγος για την εφαρμογή στο να αποκτήσει αυτό το δικαίωμα, θα πρέπει μάλλον να το σκεφτείς πολύ καλά πριν να εγκαταστήσεις μια τέτοια εφαρμογή, επίσης καλό θα ήταν να κάνεις και μια εντατική και προσεκτική έρευνα σχετικά με την εν λόγω εφαρμογή στο διαδίκτυο πριν αποφασίσεις αν τελικά σου είναι απαραίτητη ή/και ασφαλής για να την εγκαταστήσεις στο smartphone σου.
3. Ανάγνωση και τροποποίηση των επαφών σας (Read and modify your contacts)
Αυτή η παραχώρηση δικαιώματος, για την “ανάγνωση και τροποποίηση των επαφών σου”, δίνει σε μια εφαρμογή απρόσκοπτη πρόσβαση στα δεδομένα των επαφών σου. Ενώ και τα δύο μπορεί να είναι προβληματικά, το δικαίωμα “τροποποίησης” είναι ιδιαίτερα επικίνδυνο, δεδομένου ότι θα δώσει την δυνατότητα σε μια εφαρμογή να διαβάσει τα πάντα σχετικά με τις όποιες πληροφορίες περιέχονται και σχετίζονται με τις αποθηκευμένες επαφές στο τηλέφωνό σου. Αυτό περιλαμβάνει και το πόσο συχνά επικοινωνείς με συγκεκριμένες επαφές.
Οι εφαρμογές SMS, οι εφαρμογές διαχείρισης επαφών, οι εφαρμογές αντικατάστασης κλήσεων και ακόμη και μερικές εφαρμογές για τα social media θα χρειαστούν την μια ή/και τις δύο από αυτές τις παραχωρήσεις, αλλά οι εφαρμογές χωρίς καμία κοινωνική πτυχή δεν έχουν κανέναν λόγο να απαιτήσουν κάτι τέτοιο.
4. Παραχωρήσεις δικαιωμάτων που σχετίζονται με τα SMS και τα MMS
Αυτές οι παραχωρήσεις δικαιωμάτων θα μπορούσε ενδεχομένως να σου κοστίσουν και πολλά χρήματα, αν κάποιες κακόβουλες εφαρμογές χρησιμοποιήσουν αυτά τα δικαιώματα για να στείλουν χωρίς άδεια SMS ή να επιφέρουν επιπλέον χρεώσεις σε κάθε SMS και MMS που στέλνεις.
Η παραχώρηση δικαιώματος για “ανάγνωση μηνυμάτων κειμένου” (read text messages) και για “λήψη μηνυμάτων κειμένου” (receive text messages) μπορεί δυνητικά να οδηγήσει και να θέσει σε κίνδυνο την ιδιωτικότητα σου. Αν δεν υπάρχει πραγματικός λόγος για μια εφαρμογή να απαιτεί αυτά τα δικαιώματα, καλό θα ήταν να την αποφύγεις.
Ωστόσο, υπάρχουν απολύτως βάσιμοι λόγοι που μια εφαρμογή μπορεί να απαιτεί αυτά τα δικαιώματα, ειδικά αν είναι μια εφαρμογή για SMS. Και πάλι, λίγη λογική σκέψη πάνω σε μια τέτοια απαίτηση θα μπορούσε να σε σώσει από το να βρεθείς σε μια θέση που θα έχεις να αντιμετωπίσεις τυχόν ζητήματα που θα σχετίζονται με αυτήν την παραχώρηση άδειας.
5. Παραχώρηση δικαιωμάτων σχετικά με λογαριασμούς χρηστών
Η “εύρεση λογαριασμών στην συσκευή” (find accounts on the device) επιτρέπει στην εφαρμογή να ελέγξει τον ενσωματωμένο διαχειριστή λογαριασμών χρηστών (Account Manager) του Android για να δει αν έχεις λογαριασμούς σε υπηρεσίες όπως το Google, το Facebook, κτλ.
Η “χρήση λογαριασμών στην συσκευή” (use accounts on device) επιτρέπει στην εφαρμογή να ζητά άδεια για την χρήση λογαριασμού. Μόλις δοθεί αυτή η άδεια, η εφαρμογή δεν χρειάζεται να την ξαναζητήσει. Οπότε αυτό που είναι το ανησυχητικό εδώ, είναι βέβαια το αν η εφαρμογή είναι κακόβουλη και συνεχίσει να κάνει πράγματα στο παρασκήνιο αντί για σένα αλλά χωρίς εσένα.
Μια άλλη σχετική παραχώρηση δικαιώματος που πρέπει να προσέξεις είναι και η “δημιουργία λογαριασμών και ορισμός κωδικών πρόσβασης” (create accounts and set passwords) που θα επιτρέπει στην εφαρμογή να πιστοποιεί διαπιστευτήρια. Μια κακόβουλη εφαρμογή θα μπορούσε αποκτώντας αυτό το δικαίωμα να το επωφεληθεί και να “ψαρέψει” (phishing) τον δικό σου κωδικό πρόσβασης.
Τρόποι για να παραμείνεις ασφαλής
Υπάρχουν μερικά πράγματα που μπορείς να κάνεις για να παραμείνεις ασφαλής όσο να αφορά τις εφαρμογές.
1. Ο καλύτερος τρόπος για να παραμείνεις ασφαλής δεν να αποφεύγεις αμέσως οποιαδήποτε εφαρμογή που μπορεί να απαιτήσει κάποιες προβληματικές παραχωρήσεις σε δικαιώματα πρόσβασης, αλλά αντ’ αυτού, να δεις την ίδια την εφαρμογή και να χρησιμοποιήσεις ένα σκεπτικό προσδιορισμού για το αν η εφαρμογή χρειάζεται όντως αυτά τα δικαιώματα.
2. Μπορείς επίσης να στείλεις ένα email στον κατασκευαστή της και να ρωτήσεις σχετικά με τις παραχωρήσεις. Εάν η απάντηση του δεν είναι ικανοποιητική ή αν δεν πάρεις καμιά απάντηση, τότε μπορείς να μην ξανά-ασχοληθείς με την εν λόγω εφαρμογή.
3. Μπορείς επίσης να επωφεληθείς από την τεράστια κοινότητα του Android, αν δεν είσαι σίγουρος για την ασφάλεια μιας συγκεκριμένης εφαρμογής. Διάβασε τις αξιολογήσεις που υπάρχουν στο Play Store και στους διαδικτυακούς τόπους που υπάρχουν σχετικά με ειδήσεις για το Android για να δεις αν υπήρξαν πρόσφατα παράπονα σχετικά με την εφαρμογή. Χρειάζεται να αφιερώσεις λίγο παραπάνω χρόνο και εργασία αλλά καλύτερα ασφαλής πάρα μετανιωμένος.
Διαχείριση των δικαιωμάτων σε εφαρμογές
Εάν έχεις αφήσει τις εφαρμογές να έχουν πρόσβαση σε οποιονδήποτε από τους λογαριασμούς σου, όπως αυτούς στο Facebook ή στο Google, θα ήταν μια καλή ιδέα να πας στις ρυθμίσεις λογαριασμού και να διαχειριστείς τα δικαιώματα του λογαριασμού, αν η ιστοσελίδα του παρέχει ένα τέτοιο χαρακτηριστικό.
Μπορείς επίσης να ελέγξεις το τι δικαιώματα έχουν συγκεκριμένες εφαρμογές πηγαίνοντας στο Ρυθμίσεις > Εφαρμογές (Settings > Apps). Απλά επιλέγεις μια εφαρμογή και βλέπεις σε λίστα τα δικαιώματα που έχει.
Εφαρμογές διαχείρισης δικαιωμάτων
Μπορείς επίσης να χρησιμοποιήσεις και μια εφαρμογή για την διαχείριση των παραχωρήσεων δικαιωμάτων, όπως το Permission Explorer , που σου επιτρέπει να φιλτράρεις ανά κατηγορία, τις εφαρμογές και τα δικαιώματα και μπορεί να σου δώσει μια πιο λεπτομερή ανάλυση των αδειών που χορηγούνται στην κάθε εφαρμογή. Άλλες παρόμοιες εφαρμογές που μπορείς να δοκιμάσεις είναι το Permissions Observatory και το App Permissions
Ανεξάρτητα από την εφαρμογή που θα επιλέξεις, το να αφιερώσεις λίγο χρόνο για να κάνεις μια ανασκόπηση των δικαιωμάτων των εφαρμογών που είναι εγκατεστημένες στη συσκευή σου Android, θα σε βοηθήσει να διαπιστώσεις αν υπάρχουν εφαρμογές με προβληματικά δικαιώματα που θα πρέπει να ανακληθούν ή ακόμη, ίσως, να χρειαστεί και να τις απεγκαταστήσεις εντελώς.
Ανάκληση δικαιωμάτων σε εφαρμογές
Μόλις βρεις κάποιες παρεμβατικές εφαρμογές, θα είναι η ώρα να αποφασίσεις για το πώς θα κινηθείς. Δεν υπάρχει επί του παρόντος κάποιος ενσωματωμένος τρόπος για να διαχειριστείς τα δικαιώματα των εφαρμογών στην τελευταία έκδοση του Android, δεδομένου ότι η Google επέλεξε να αφαιρέσει την δυνατότητα AppOps από το Android 4.4.2.
Ωστόσο, εάν ακόμα τρέχεις το Android 4.3, καλό θα ήταν να τρέξεις το AppOps για να δεις αν αυτό θα σε βοηθήσει να αποκτήσεις πρόσβαση στον ενσωματωμένο διαχειριστή δικαιωμάτων.
Αν τρέχεις μια έκδοση stock, unrooted 4.4.2 (ή μια έκδοση πριν από την 4.3), δυστυχώς δεν θα έχεις τύχη σχετικά με για την ανάκληση αδειών σε μια εφαρμογή παρά μόνο να επιλέξεις να την απεγκαταστήσεις τελείως. Ωστόσο, αν είσαι rooted http://www.hongkiat.com/blog/android-rooting-nutshell/ (δηλ. με δικαιώματα χρήστη στο επίπεδο ανώτατου διαχειριστή συστήματος), τότε έχεις μερικές παραπάνω επιλογές.
Διαχειριστής δικαιωμάτων εφαρμογών (rooted)
Εάν έχεις εγκαταστήσει το Xposed Framework, μπορείς να δοκιμάσεις το XPrivacy . Το XPrivacy είναι μία από τις καλύτερες εφαρμογές για την διαχείριση δικαιωμάτων που υπάρχουν διαθέσιμες, επιτρέποντάς σου να πειράξεις, να μπλοκάρεις και να ανακαλέσεις σχεδόν κάθε άδεια που μια εφαρμογή μπορεί να απαιτήσει. Μπορείς επίσης να χρησιμοποιήσεις το XPrivacy Installer για να σε βοηθήσει να εγκαταστήσεις και το Xposed Framework και το ίδιο το XPrivacy.
Εάν είσαι πρόθυμος να εγκαταστήσεις μια ένα εντελώς νέα ROM ή σχεδιάζεις να κάνεις κάτι τέτοιο ούτως ή άλλως, υπάρχουν ορισμένες custom ROMs που έρχονται με ενσωματωμένες δυνατότητες διαχείρισης παραχώρησης δικαιωμάτων.
Το δημοφιλές CyanogenMod έχει μια δυνατότητα, την Privacy Guard, η οποία, όπως και πέρυσι, έρχεται με ενσωματωμένο το AppOps του Android 4.3, σε αυτήν. Άλλες ROMs, όπως η Purity ROM έχουν επίσης μια παρόμοια δυνατότητα/λειτουργία.
Συμπέρασμα
Είναι δύσκολο να αρνηθεί κάποιος ότι, τουλάχιστον από προεπιλογή, οι ρυθμίσεις απορρήτου και ασφάλειας του Android είναι κάπως ελλειπείς. Ανάμεσα στην περιστασιακή σύγχυση με τις ονομασίες των παραχωρήσεων δικαιωμάτων και σε μια ανικανότητα για την χορήγηση δικαιωμάτων επιλεκτικά, αυτό είναι σίγουρα κάτι πάνω στο οποίο το Android θα πρέπει να αφιερώσει σημαντική εργασία.
Ωστόσο, ακόμη και με αυτά τα θέματα παρόντα, παραμένει ακόμα απολύτως εφικτό το να βρεθείς πάνω από τα πράγματα και να εξασφαλίσεις την ασφάλεια των δεδομένων σου με το να είσαι σε εγρήγορση σχετικά με τις εφαρμογές που εγκαθιστάς και με τα δικαιώματα που παραχωρείς σε αυτές τις εφαρμογές. Στο κάτω κάτω της γραφής, είναι τα δικά σου δεδομένα μέσα στο δικό σου τηλέφωνο και εσύ θα πρέπει να έχεις τον έλεγχο.
Πηγή άρθρου: http://www.hongkiat.com/
Μετάφραση: http://waves.pirateparty.gr