وقتی اپلیکیشنی را در اندروید یا iOS نصب میکنید، در هنگام اجرا برای اولین بار، اپلیکیشن از شما اجازه دسترسی به دادههای شخصی مثل موقعیت مکانی، پیامها، تاریخچه تماسها، عکسها و … را سؤال میکند. مطمئنا سؤالاتی از این دست را دیدهاید که «آیا اپلیکیشن اجازه دسترسی به عکسها را دارد؟». وقتی شما به چنین سؤالی پاسخ منفی میدهید، به خیال خودتان اپلیکیشن مورد نظر امکان دسترسی به عکسهای موجود در گوشی شما را نخواهد داشت، اما به گفته پژوهشگران آمریکایی مؤسسه ICSI، حتی زمانی که شما چنین اجازهای را به اپلیکیشن نمیدهید، برخی از اپلیکشنها باز هم میتوانند به عکسهای شما دسترسی داشته باشند.شاید شما نیز جز آن دسته از کاربران گوشیهای هوشمند اندرویدی باشید که تصور میکنید بعد از نصب و دانلود اپلیکیشنهای مورد نظر خود، تنها در صورتی که به آنها اجازه دسترسی به لوکیشن (مکان جغرافیایی) یا سایر اطلاعات شخصی همچون دسترسی به گالری و شماره تماس مخاطبین خود را بدهید، آنها دسترسی خواهند داشت، اما حالا پژوهشگران و محققان به تازگی دریافته و اعلام کردند که ۱۳۲۵ اپلیکیشن اندرویدی بدون اجازه کاربران به اطلاعات شخصی و لوکیشن آنها دسترسی دارند.
اجازهای که در ابتدا به یک اپلیکیشن اندرویدی داده میشود، به منزله دربانیست که باید میزان خروج دادههای حساس و شخصی دیوایس شما را کنترل کند. اما مقالهای که اخیرا در کنفرانس PrivacyCon 2019، در “کمیسیون تجاری فدرال” یا FTC ارائه شد، خلاف این قضیه را ثابت میکند. این مقاله – که با عنوان “پنجاه راه برای نشت داده شما” منتشر شده – نشان میدهد، بیش از هزار اپلیکیشن موجود در Google Play، بر خلاف میل کاربر و با دور زدن محدودیتهای اعمالشده توسط وی، خیلی راحت میتوانند دادههای شخصی او را کندوکاو کنند. با یک نگاه اجمالی به نتایج پژوهش فوق، به این نکته پی میبریم که حفظ حریم شخصی در فضای آنلاین تا چه اندازه دشوار است، به ویژه اگر به گوشی هوشمند خود و اپلیکیشنهای آن شدیدا وابسته باشید. در حال حاضر، کمپانیهای فناوری حجم زیادی از دادههای شخصی میلیونها نفر در سراسر دنیا را در اختیار دارند؛ اینکه فرد کجاها بوده، با چه کسانی دوست است و به چه چیزهایی علاقه دارد. از همین رو، قانونگذاران با وضع قوانینی در حوزه حریم خصوصی، سعی در کنترل این وضعیت داشتهاند. شرکتهایی مثل گوگل و اپل نیز به منظور حفاظت بیشتر از حریم خصوصی، امکانات جدیدی را برای بهبود حریم شخصی کاربر ارائه نمودهاند، اما ظاهرا این اقدامات حداقل در مورد نتایج این تحقیق کافی نبوده است. طبق گفته پژوهشگران “مؤسسه بینالمللی علوم کامپیوتری” (ICSI)، حداقل 1,325 اپلیکیشن اندرویدی وجود دارد که حتی پس از اینکه کاربر اجازه دسترسی به برخی دادهها را نمیدهد، باز هم جمعآوری داده را ادامه میدهند. سرج اگلمن (Serge Egelman)، مدیر پژوهشی حوزه حریم شخصی و امنیت در مؤسسه ICSI، در هنگام ارائه مقاله تیم تحقیقاتی در اواخر ژوئن عنوان کرد: «اساسا، مصرفکنندگان برای کنترل منطقیِ حریم شخصی خود و تصمیمگیری درباره آن، ابزارها و نشانههای خیلی کمی را در اختیار دارند. اگر توسعهدهندگان اپلیکیشنها میتوانند این سیستم را دور بزنند، در این صورت سؤال پرسیدن از مصرفکنندگان برای کسب اجازه، تقریبا بیمعنیست.»
بر اساس گزارش وب سایت phonearena، این تحقیق که روی ۸۸ هزار اپلیکیشن اندرویدی صورت گرفته است، در نهایت منجر به اعلام ۱۳۲۵ اپلیکیشن شد که کد نویسی آن به گونهای انجام شده که قادر است بسیاری از اطلاعات خصوصی کاربران از جمله تصاویر و اتصال به اینترنت وای فای آنها را ذخیره سازی کنند.
سرگئی ایگلمن، دبیر امنیت کاربران و تحقیقات بخش حریم خصوصی در این مؤسسه تمامی اطلاعات به دست آمده را در جریان برگزاری کنفرانسی در همین حوزه ارائه داده و و خاطرنشان کرده است که به گوگل نیز در سپتامبر سال گذشته در این مورد هشدار داده است و این غول تکنولوژی نیز در پاسخ به نگرانی این کارشناسان امنیتی اعلام کرده که مشکلات مربوط به اپلیکیشنهای مذکور را با انتشار نسخه جدید این سیستم عامل یعنی اندروید Q برطرف خواهد کرد.
در این میان اپلیکیشنهای معروفی از جمله سامسونگ هلث و برخی دیگر از مرورگرهای اینترنتی که روی بالغ بر ۵۰۰ میلیون دستگاه نصب و دانلود شده است، به چشم میخورد.
به عنوان مثال، پژوهشگران به اپلیکیشن Shutterfly (یکی از معروفترین برنامههای ویرایش عکس) اشاره کردند که پس از جمعآوری مختصات GPS از عکسها، آنها را به سرورهای خود ارسال میکرد و این کار حتی هنگامی که کاربر اجازه دسترسی به دادههای لوکیشن را نمیداد نیز ادامه مییافت.
اما سخنگوی کمپانی Shutterfly، با رد این ادعا، اظهار کرد که این شرکت تنها با اجازه صریح از سوی کاربر، اقدام به جمعآوری دادههای لوکیشن کرده است. وی در ادامه افزود: «مثل بسیاری از سرویسهای عکسی، Shutterfly هم از این دادهها استفاده میکند تا با امکاناتی مثل طبقهبندی و پیشنهادهایی در رابطه با شخصیسازی محصول، تجربه کاربری را ارتقا دهد.» وی خاطرنشان کرد که همه اینها مطابق با سیاست حریم خصوصی Shutterfly و توافق با توسعهدهنده اندروید انجام میشود.
البته طی این پژوهش، روش دیگری نیز برای سرقت داده مشاهده شد. برخی اپلیکیشنها برای سرقت داده، از اپلیکشنهایی که کاربران به آنها اجازه داده بودند استفاده کرده و از طریق این کانال، به شناسههای گوشی مثل شماره IMEI دسترسی پیدا میکردند. این اپلیکیشنها با خواندن دقیق فایلهای محافظت نشده روی اسدی کارت موجود در دیوایس، به جمعآوری دادههایی میپردازند که اجازه دسترسی به آنها را نداشتند. با این حساب، اگر شما به اپلیکیشنی اجازه دسترسی به دادههای شخصی را بدهید و این اپلیکیشن، دادههای مذکور را در فولدری روی اسدی کارت ذخیره کند، بعید نیست یک اپلیکیشن جاسوسی بتواند این دادهها را سرقت کند.
چگونگی استفاده اپلیکیشن 2 فاقد اجازه دسترسی از منابع اپلیکیشن 1 دارای دسترسی
در ظاهر، این دو اپلیکیشن هیچ ارتباطی با هم ندارند، اما به گفته پژوهشگران، چون هر دوی آنها با استفاده از یک کیت توسعه نرمافزار یا SDK توسعه یافتهاند، میتوانند به این دادهها دسترسی داشته باشند. شواهد نشان میدهد، کسی که نهایتا در این شرایط دادههای شخصی را دریافت میکند، صاحب SDK است. برای درک بهتر موضوع، کودکی را تصور کنید که از پدرش تقاضای شکلات میکند و وقتی با پاسخ منفی او روبرو میشود، از مادرش درخواست میکند. به عنوان مثال، اپلیکیشنهای Samsung Health و Disney – که از SDKهای ساخته شده توسط موتور جستوجوی Baidu و شرکت Salmonads استفاده میکنند – میتوانند دادههای شما را پس از ذخیرهسازی روی گوشی کاربر، از اپلیکیشنی به اپلیکیشن دیگر (و همچنین به سرورهایشان) انتقال دهند.
گفتنیست در پژوهش حاضر، تنها 13 اپلیکیشن مشاهده شد که به این روش به دادهها دسترسی داشتند، اما به گفته پژوهشگران، همین 13 اپلیکیشن بیش از 17 میلیون بار نصب شده بودند. طبق یافتههای این پژوهش، 153 اپلیکیشن چنین قابلیتی را دارند که از این جمله میتوان به اپلیکیشن Health و Browser (محصول سامسونگ) اشاره کرد که در حال حاضر روی بیش از 500 میلیون دستگاه نصب هستند.
مورد دیگری که پژوهشگران به آن برخوردند، گروهی از اپلیکیشنها بودند که با اتصال به شبکه وای-فای و پی بردن به MAC آدرس روتر کاربر، اقدام به جمعآوری دادههای مربوط به لوکیشن او میکردند. این پدیده در اپلیکیشنهایی مشاهده شد که نقش ریموت کنترل هوشمند را نیز ایفا میکردند. لازم به ذکر است این اپلیکیشنها برای کارکرد خود هیچ نیازی به دانستن لوکیشن کاربر ندارند.
سرج اگلمن وعده داده که ماه آگوست با حضور در کنفرانس Usenix Security، ضمن ارائه جزییات بیشتری از این پژوهش، فهرست تمام 1,325 اپلیکیشنی که بدون اجازه کاربران به دادههای شخصی آنها دسترسی پیدا میکردند را منتشر خواهد کرد.