随着 iOS 8 开放,第三方输入法的春天终于来了,各大输入法厂商纷纷第一时间上架了各自的输入法键盘。但在这背后,涉及隐私的「完全访问」则成了困扰用户的一大难题。

笔者在《iOS 8 中文输入法 iPad 版对比评测》一文中,多次提及了「完全访问」的问题。无论是搜狗还是百度,在安装完输入法的第一时间都会要求用户开启「允许完全访问」,若不允许「完全访问」,皮肤、语音、云联想等诸多重要功能都无法正常使用,极大地影响了第三方输入法的输入法效率。

当用户准备允许「完全访问」时,来自苹果的警告弹窗中「泄露敏感信息」「信用卡号」的字眼又是如此触目惊心。到底该不该开启「完全访问」?如果一定要开启它,我们应该注意什么?

寻根究底:从苹果官方文档解析「完全访问」

在探究这个问题之前,我们先来看看这个权限对第三方输入法实际有何影响。根据官方文档《App Extension Programming Guide: Custom Keyboard》中「Designing for User Trust」一章所描述:

  • 当完全访问关闭时:
  1. 输入法可以使用键盘的基本功能
  2. 可以使用自动更正功能
  3. 使用「设置」中的 自定义短语 功能
  4. 不能与 containing app 交互数据
  5. 除了输入法的相关文件,不能访问额外的文件系统
  6. 不能直接或者间接的使用 iCloud, Game Center 和 In-App Purchase
  • 当完全访问打开时:
  1. 输入法具有一切离线键盘的功能
  2. 在用户许可的情况下,可以使用定位服务,可以读取用户通讯录信息
  3. 与 containing app 可以使用共享的 container 交互
  4. 输入法可以记录击键数据以及其他输入数据,并可以发送到输入法的服务端
  5. containing app 可以给输入法自定义的自动更正功能提供一个界面
  6. 通过 containing app,输入法可以使用 iCloud 在多设备同步设置以及自定义的自动更正数据
  7. 通过 containing app,输入法可以使用 Game Center 以及 In-App Purchase
  8. 支持 MDM 管理

根据标红的字段,我们可以得出这样的结论

(1) 在关闭「完全访问」时,输入法是一个「离线键盘」,仅支持基本输入,无法访问网络,自然也无法记录用户信息并上传到自己的服务器中。

(2) 如果允许「完全访问」,输入法不仅能获取你所有的输入数据,还能获取你的位置及通讯录信息,并可以随意地发送到输入法自家的服务器中。且只要曾经启用过「完全访问」,即使之后关闭权限,输入法也可能在本地记录输入信息,待权限重新开启后一并上传至开发者服务器。

(3) 「完全访问」只会使键盘处于离线状态,应用本身网络访问并不会受限,也就是说:输入法的皮肤等功能,并不会因未关闭「完全访问」而无法使用。而搜狗与百度在设置向导中告知用户这些功能必须允许「完全访问」才能使用,是毫无道理的。当然,云输入、语音、同步等功能另当别论。

为什么要重视「完全访问」?

其实大部分同学并非对开启「完全访问」后可能造成的危害毫无了解,只不过是在功能封禁与隐私泄露二者之间做出一个权衡。支持允许「完全访问」的,大致可以归纳为下列两种想法:

第一种想法认为:我们不过沧海一粟,个人信息一文不值,何必在乎泄不泄露。

其实之前笔者也是毫不在乎的,可在一次微博被盗事件后,笔者顿时领悟了个人信息的重要性。当时微博被盗,就是因为被一款第三方应用获取了登录信息(这与 iOS 上的第三方输入法有异曲同工之处),在二十分钟内发布了百余条虚假中奖信息。笔者是一个毫无影响力的用户,可此次事件对自己和他人都带来了不小的困扰。由此可以联想,一旦开启了「完全访问」权限,你的账户、密码、电话、地址都有暴露在了开发者面前,谁知你会不会某一天就成了研究对象呢。

另一种想法是:我们觉得自己的隐私早已曝光了,何必还在意这些。

例如 PC 端的输入法向来开放所有权限,苹果自身也有许多安全隐患,同样会搜集用户数据,我们早已是「俎上鱼肉」,任人宰割。可笔者认为,此次与以往不同的是,决定权在我们手上,既然有可能少泄漏一些,就尽量少泄漏一些。说不定你就有可能因此少收一条垃圾短信,少接一条骚扰电话了。

小结:如非必要,不建议开启

综上,笔者并不建议你允许「完全访问」。可如果你受功能所迫,不得已开启「完全访问」时,笔者有以下两点建议

  1. 在输入关键的、隐私的个人信息时,务必切换回原生输入法,以免第三方输入法获取到你的重要资料。
  2. 虽然 iOS 中输入密码会强制使用原生输入法,但仍强烈建议你如果需要进行登录账号操作,尽可能使用 1Password 等安全应用,避免账号信息外泄。

当然,最终选择权在你手。你会选择守护隐私,还是放浪形骸?欢迎在本文评论或微博中与我交流。

▲ 本文部分内容来自 知乎