Grammarly czyta prawie każde pole tekstowe na waszym komputerze i wysyła je do chmury
Jak się okazuje, wiele osób korzysta z Grammarly na najprzeróżniejsze sposoby – jako klawiatura dla smartfona, wtyczka dla przeglądarki czy aplikacja dla Mac lub Windows. Niewielu z nich jednak wie, że Grammarly przerzuca treść prawie każdego pola tekstowego, które widzi, czy to w przeglądarce, czy w systemie, do ich chmury, gdzie ten tekst jest analizowany, a później przetrzymywany.
To wszystko brzmi strasznie, więc może zacznę od tego, że jeśli aplikacja typu Grammarly ma dobrze działać, to musi takie rzeczy robić. Mam na myśli analizę tekstu, żeby była gotowa, gdy zaczniemy z nim pracować. Problem w tym, że nie robi tego lokalnie, ale na ich serwerach, co wymaga, jak już wspominałem, przesyłu danych prosto do Grammarly, które są tam analizowane oraz przechowywane. Na zawsze? Mają do tego prawo. A czy mogą te teksty pokazywać innym? W skrócie? Tak.
To, z jakiej wersji Grammarly korzystacie, będzie miało znaczenie. Przez „wersji” mam na myśli, czy to jest aplikacja, wtyczka czy klawiatura systemowa. Każda z nich będzie miała inne prawa dostępu do poszczególnych danych, a na potrzeby przykładów w tym tekście, skupimy się na ich dedykowanej aplikacji.
Czy Grammarly to keylogger?
W sensie technicznym… tak, jest keyloggerem. Rejestruje wpisywany tekst, przerzuca go na swoje serwery, gdzie go analizuje. To czemu Grammarly twierdzi, że nie jest keyloggerem?
Is Grammarly a keylogger?
No, our product only checks the text you want it to, and it does not run in sensitive fields.
Zapewne dlatego, że nie czyta naszych haseł w polach tekstowych oznaczonych jako „sensitive”. Ale wie, że je wpisujemy, bo wie, jakie klawisze wciskamy na klawiaturze lub jakie są wpisywane za pomocą innych aplikacji.
Ale skąd‽
Ano, bo im na to pozwoliliśmy.
Aby Grammarly mogło funkcjonować prawidłowo, potrzebuje tzw. Accessibility Permissions w macOS, które dają mu dostęp do praktycznie wszystkiego. To wina Apple, że ta kategoria nie ma więcej subkategorii, przez co aplikacje dostają dostęp do wszystkiego lub niczego. U mnie widzicie tam Pastebota oraz Keyboard Maestro – dałem im dostęp, bo nie korzystają z chmury (w przypadku Pastebota może korzystać z iCloud, jeśli chcemy sync pomiędzy Macami, ale można tam precyzyjnie ograniczyć dostęp), wiem co robią i wiem, że nie wysyłają tych danych nigdzie. No i ufam tym dwóm deweloperom, że nagle nie zmienią zachowania ich aplikacji.
To co czyta i co wysyła Grammarly?
W przypadku ich aplikacji OS-owej oznacza to, że czyta tekst w każdym oknie, które znajduje się w focus (czyli jest aktywne). Jak otrzyma dostęp w Accessibility, to zaczyna, bez dodatkowych ostrzeżeń czy powiadomień, wysyłać napisane znaki i treści pół tekstowych na ich serwery do analizy. W swojej polityce prywatności, na temat zbieranych danych, piszą:
Other Information we collect (…)
This consists of all text, documents, or other content or information uploaded, entered, or otherwise transmitted by you in connection with your use of the Services and/or Software.
Obejmuje to wszystkie teksty, dokumenty lub inne treści lub informacje przesłane, wprowadzone lub w inny sposób przesłane przez Ciebie w związku z korzystaniem przez Ciebie z Usług i/lub Oprogramowania.
To może wprowadzić w błąd. Przesłane przeze mnie? Nie! Wysyłane automatycznie przez Ciebie non-stop, ponieważ wyraziłem na to zgodę. Tutaj objawia się brak kontroli użytkownika nad tym procesem. Wyobraźmy sobie scenariusz…
- Rzeczywistość:
- Uruchamiam Notatki, w której aktywna jest notatka z jakimś tekstem. Nic jeszcze nie zostaje wysłane do Grammarly, ponieważ nie uruchomiłem ich aplikacji.
- Uruchamiam Grammarly i przełączam się do Notatek. Cały tekst aktywnej notatki jest automatycznie kopiowany na serwery Grammarly, analizowany i odsyłany ponownie do nas z podkreślonymi błędami.
- To ma sens, jeśli jest to akurat notatka, której analizę chcemy przeprowadzić, ale problem jest taki, że jeśli np. będę się przełączał Ctrl + Tab pomiędzy kolejnymi notatkami, aby znaleźć tą, którą chcę poddać analizie, to każda z nich zostanie przesłana na serwery Grammarly.
- Jak być powinno:
- App Grammarly powinien w odpowiedni sposób informować nas o tym co jest wysyłane i jeśli są jakiekolwiek wątpliwości, np. gdy przełączamy się pomiędzy kolejnymi oknami, to powinien się pytać o dodatkowe pozwolenie.
- Powinien udostępniać interfejs z dostępem do naszych danych i opcją selektywnego kasowania tego, co chcemy.
Sensitive?
Grammarly ma unikać pól tekstowych oznaczonych jako „sensitive”, czyli wrażliwe. W praktyce oznacza to pole z hasłami oraz numerami kart kredytowych. Nie obejmuje to wielu innych wrażliwych danych, jak numery telefonów, PESEL, hasła przeklejane np. do jakiegoś iMessage, bo chcemy je komuś wysłać itd.
Ale czy człowiek w ogóle ma dostęp do naszych danych?
Ano ma. W określonych sytuacjach. Ale co pobierają i zbierają? Oto kilka przykładów (tłumaczenie na PL via Google Translate):
- Informacje lokalne. Jest to obszar geograficzny, w którym korzystasz ze swojego komputera i urządzeń mobilnych (wskazywany przez adres protokołu internetowego (IP) lub podobny identyfikator) podczas interakcji z naszą Witryną, Oprogramowaniem i/lub Usługami.
- Informacje o urządzeniu. Są to dane z Twojego komputera lub urządzenia mobilnego, takie jak rodzaj używanego sprzętu i oprogramowania (na przykład system operacyjny i typ przeglądarki), a także unikalne identyfikatory urządzeń korzystających z oprogramowania Grammarly.
- Możemy zbierać informacje o Tobie od stron trzecich, takich jak partnerzy marketingowi i badacze, jeśli mają oni prawo do udostępniania nam Twoich Informacji. Możemy łączyć Informacje, które otrzymujemy z innych źródeł z Informacjami, które zbieramy od Ciebie (lub Twojego urządzenia) i wykorzystywać je zgodnie z opisem w niniejszej Polityce prywatności.
Moje zaufanie najbardziej pobudza ostatni podpunkt, gdzie firma może aktywnie szukać na nasz temat informacji u handlarzy danych, aby wiedzieć o nas jeszcze więcej. Dbają o nasze dobro, ewidentnie.
Pozwolę zrobić listę paru pozycji z ich polityki prywatności, abyście sami zdecydowali, jak niejasno opisują fakt, czy człowiek może je czytać i kiedy, oraz jakie szerokie pole manewru mają:
- Z reguły pracownicy Grammarly nie monitorują ani nie przeglądają Treści użytkownika przechowywanych lub przesyłanych za pośrednictwem naszej Witryny, Oprogramowania i/lub Usług, ale…
- można go wyświetlić, jeśli uważamy, że zostały naruszone Warunki korzystania z usługi i wymagane jest potwierdzenie,
- jeśli musimy to zrobić, aby odpowiedzieć na Twoje prośby o wsparcie,
- jeśli w inny sposób ustalimy, że mamy obowiązek zapoznać się z nim zgodnie z Warunkami świadczenia usług,
- w celu ulepszenia naszych algorytmów zgodnie z opisem w sekcji Treści użytkownika w naszych Warunkach korzystania z usługi.
- Wreszcie, Twoje Informacje mogą być przeglądane…
- w razie potrzeby w celu ochrony praw, własności lub bezpieczeństwa osobistego Grammarly i jej użytkowników
- lub w celu spełnienia naszych zobowiązań prawnych, takich jak odpowiadanie na nakazy, nakazy sądowe lub inne procesy prawne.
Niektórzy powiedzą, że to typowy „prawniczy bełkot” i przecież tego nie zrobią. Ale mogą to zrobić. Mogą pod niemal każdym pretekstem, „aby chronić prawa, własność lub bezpieczeństwo osobiste”.
A dzielą się z kimś naszymi danymi?
Yep!
- (…) korzystamy z usług dostawców, którzy pomagają nam w spełnianiu potrzeb związanych z działalnością biznesową, w tym hostingu, dostarczania i ulepszania naszych Usług. Korzystamy również z usług dostawców usług dla określonych usług i funkcji, w tym komunikacji e-mail, usług obsługi klienta i analiz. Usługodawcy ci mogą uzyskiwać dostęp do Danych Osobowych, przetwarzać je lub przechowywać wyłącznie zgodnie z naszymi instrukcjami oraz w celu wykonywania swoich obowiązków wobec nas.
- (…) uważamy, że konieczne jest zbadanie potencjalnych naruszeń Warunków świadczenia usług, egzekwowanie tych Warunków świadczenia usług lub zbadanie, zapobieganie lub podejmowanie działań w związku z nielegalnymi działaniami, podejrzeniem oszustwa lub potencjalnymi zagrożeniami dla osób, mienia lub systemów na którym obsługujemy naszą Witrynę, Oprogramowanie i/lub Usługi.
- (…) ustalamy, że dostęp, zachowanie lub ujawnienie Twoich danych osobowych jest wymagane przez prawo w celu ochrony praw, własności lub bezpieczeństwa osobistego Grammarly i użytkowników naszej Witryny, Oprogramowania i/lub Usług lub w celu odpowiedzi na zgodne z prawem żądania przez organy publiczne, w tym wnioski dotyczące bezpieczeństwa narodowego lub organów ścigania.
- (…) musimy to zrobić w związku z fuzją, przejęciem, upadłością, reorganizacją, sprzedażą części lub całości naszych aktywów lub akcji, ofertą publiczną papierów wartościowych lub działaniami w związku z takimi działaniami (np. badanie due diligence). W takich przypadkach niektóre lub wszystkie Twoje Dane Osobowe mogą być udostępniane lub przekazywane innemu podmiotowi, z zastrzeżeniem niniejszej Polityki prywatności.
Ostatni punkt jest szczególnie interesujący, ponieważ jeśli ktoś ich kupi, a historia pokazuje, że tego typu przejęcia są prawdopodobne, to im udostępnią wszystkie nasze dane. Przejęciem? Przepraszam… wystarczy reorganizacja. No i nie zapominajmy, że wystarczy czyjeś „podejrzenie oszustwa”, aby się człowiek zaczął wczytywać w nasze dane. Jakiego oszustwa? Nie mam pojęcia… może ktoś będzie próbował oszukać algorytm, aby każdy przypadek imienia Richard był podmieniany jego zdrobnieniem, czyli Dick.
To co robić?
Szczerze współczuję osobom, które muszą korzystać z tego typu narzędzi. Rozumiem, że ułatwiają im życie, ale niektóre ceny są zbyt wysokie, aby je płacić. Dlatego nie mogę nikomu polecić korzystanie z Grammarly, bo ryzyko jest po prostu zbyt duże, czy to przez włamanie, przejęcie, wyciek, a może nawet reorganizację.
A jak już naprawdę musicie, to może po prostu korzystajcie z wersji webowej, która ma dostęp tylko do danych, które wkleicie, świadomie, do odpowiedniego pola tekstowego.
Systemowa korekta nie działa po odinstalowaniu Grammarly?
Jeśli odinstalujecie pod macOS Grammarly, to może wywalić systemową korektę w kosmos, która nie będzie działała, bo nie. Jest na to jednak rozwiązanie:
- Uruchamiamy Terminal.
- Wpisujemy
defaults write -g NSAllowContinuousSpellChecking -bool true
i zatwierdzamy Enterem. - Teraz trzeba będzie zrobić restart danych aplikacji, ale dla pewności, zróbcie pełny restart Maca.