Google Play เพิ่งอัพเกรดไปไม่กี่วันก่อนโดยมีความเปลี่ยนแปลงสำคัญคือการจัดสิทธิของแอพพลิเคชั่นให้เป็นหมวดหมู่ ผู้ใช้เวลาลงแอพพลิเคชั่นแทนที่จะเห็นรายการสิทธิแบบแจกแจงรายละเอียดก็จะเห็นเป็นหมวดเช่นของสิทธิ SMS โดยไม่ระบุว่าเป็นสิทธิอ่าน หรือสิทธิส่งเหมือนแต่ก่อน
แนวคิดนี้โดยทั่วไปเป็นแนวคิดที่ดีเพราะผู้ใช้จำนวนมากไม่สนใจอ่านรายละเอียดปลีกย่อยของแอพพลิเคชั่น การยุบสิทธิให้เหลือไม่กี่ข้อทำให้ผู้ใช้อ่านสิทธิกันมากขึ้นและเข้าใจว่าการลงแอพพลิเคชั่นมีความเสี่ยงอะไรบ้าง
แต่ปัญหาของระบบใหม่คือ Google Play กลับยอมให้แอพพลิเคชั่นอัพเดตโดยอัตโนมัติ แม้จะขอสิทธิใหม่ตราบใดที่สิทธินั้นยังเป็นสิทธิในหมวดเดิมที่เคยขอสิทธิมาแล้ว
กรณีเช่นนี้ทำให้แอพพลิเคชั่นที่ขอสิทธิไว้เพียงบางส่วน เช่น ขอสิทธิอ่าน SMS เท่านั้น สามารถอัพเดตรุ่นต่อไปและเพิ่มสิทธิส่ง SMS ได้โดย Google Play จะไม่ถามผู้ใช้อีกครั้งเหมือนแต่ก่อน
นอกจากนี้ Google Play รุ่นใหม่ยังไม่แสดงสิทธิการเข้าถึงอินเทอร์เน็ต ทำให้แอพพลิเคชั่นที่ไม่ควรเชื่อมต่ออินเทอร์เน็ตแม้แต่น้อยเช่นคีย์บอร์ด หรือแอพพลิเคชั่นเก็บรหัสผ่าน ไปจนถึงแอพพลิเคชั่นไฟฉาย สามารถเข้าถึงอินเทอร์เน็ตได้ทั้งหมด แอพพลิเคชั่นใดๆ ที่ไม่ได้ขอสิทธิเข้าถึงอินเทอร์เน็ตไว้จะสามารถอัพเดตและเพิ่มสิทธิได้เองโดยเราไม่รู้ตัว
กระบวนการหลีกเลี่ยงความสะเพร่าและไม่สนใจของกูเกิลนี้มีทางเดียวคือปิดระบบอัพเดตอัตโนมัติและตรวจสอบสิทธิของแอพพลิเคชั่นเองทุกครั้ง
แนวทางการออกแบบนี้ในมุมมองความปลอดภัยผมคงมองว่า "สะเพร่าอย่างไม่น่าเชื่อ" กูเกิลเลือกที่จะสอนให้ผู้ใช้มองสิทธิความปลอดภัยเป็นก้อนใหญ่ๆ โดยไม่เปิดช่องให้ระวังรายละเอียดปลีกย่อยที่มีประโยชน์จำนวนมาก ผู้ใช้ที่กลัวแอพพลิเคชั่นจะขอสิทธิเพิ่มเติมกลับโดนลงโทษอย่างหนักด้วยการต้องนั่งตรวจสอบสิทธิของแอพพลิเคชั่นทุกตัว ทุกครั้งที่มีการอัพเดต กูเกิลสอนผู้ใช้ว่าการที่แอพพลิเคชั่นส่งข้อมูลกลับออกไปสู่อินเทอร์เน็ตเป็นเรื่องปกติและแม้แต่แอพพลิเคชั่นที่เข้าถึงข้อมูลจำนวนมากอย่างคีย์บอร์ด
คงไม่รู้จะด่ายังไงครับ
ที่มา - Google Play Support, ArsTechnica, How to Geek