وقتی اپهای رایگان اندروید، بد میشوند
پلتفرم اندروید در ایران بسیار محبوب است و از حیث همهگیر بودن، کاملا بر سیستم عاملهای موبایلی دیگر برتری دارد، علاوه بر ویژگیهای بسیار عالی خود این سیستم، تنوع زیاد ابزارهای اندرویدی باعث شده است که هر کسی با هر سطح بودجهای بتواند یک گجت هوشمند اندرویدی بخرد.
اما در این میان چیز نگرانکننده، کمتوجهی کاربران به اپلیکیشنهایی است که نصب میکنند، در ایران به خاطر بسته بودن «گوگل پلی» بسیاری از کاربران بیمهابا هر اپلیکیشنی را که در هر سایتی پیدا میکنند، نصب میکنند. غافل از اینکه این امر ممکن است مشکلات امنیتی برایشان در بر داشته باشد.
من شخصا نمیدانم که دستکاری یک اپلیکیشن تا چه حد ساده و امکانپذیر است، اما تصور میکنم بتوان خیلی از اپلیکیشنهای محبوب را طوری دستکاری کرد که حریم شخصی کاربران را با مخاطره مواجه کنند.
از سوی دیگر حتی خود اپلیکیشنهای رایگان روی گوگل پلی هم کاملا ایمن نیستند و همان طور که در این مقاله شرح خواهیم داد، آنها هم میتوانند «گاهی» عملکردی شبیه بدافزارها داشته باشند.
پرواضح است که دغدغههای اینچنینی محدود به اندروید نیست، مثلا یکی از نسخههای پیشین اپلیکیشن محبوب Path برای iOS، فهرست تماسها یا address book کاربران را بدون اطلاع آنها به سرور خود آپلود این شبکه آپلود میکرد، بعد از انتشار خبر، رئیس Path به سرعت عذرخواهی کرد، همه آدرسها را از روی سرور خود پاک کرد و اپلیکیشن را بهروز کرد. (+)
گردش مالی بوجود آمده میان توسعهدهندگان اپهای رایگان اندروید و شبکههای تبلیغاتی باعث شده مرز میان بسیاری از این اپها و بدافزار کمرنگ و کمرنگتر شود. با اینکه این نرمافزارهای قانونی و تایید شده، گذرواژههای کاربران را نمیدزدند، اما به سادگی و شکلهای گوناگون حریم خصوصی کاربران را مورد تعرض قرار میدهند. معمولا این نقض حریم خصوصی کاربران از طریق سرک کشیدن در فهرست تماسهای آنها یا استفاده از اطلاعات موقعیت مکانی کاربر اتفاق میافتد، اما به همین موارد ختم نشده و ممکن است بدتر هم بشود.
این اپها به دنبال چه هستند؟
در فاصله سپتامبر گذشته تا ماه مارس امسال شرکت امنیتی مشهور بیتدیفندر بیش از 130 هزار برنامه پراستفاده اندروید موجود در گوگلپلی را مورد بررسی قرار داده است. یافتههای آنها نشان میدهد که حدود 13% این اپها شماره تلفنهای فهرست مخاطبین شما را بدون هیچ هشداری جمعآوری کرده، 12% آنها دادههای موقعیت مکانی شما را ذخیره میکنند و 8% نیز آدرس ایمیل شما را مورد (سوء) استفاده قرار میدهند. در این آمار اپهایی هم بودند که یک یا چند مورد این اطلاعات را پاک میکردند!
بسیاری از اپها به همین هم قانع نیستند. داده دیگری که توجه آنها را جلب میکند، سوابق فعالیت اینترنتی شما، شماره انحصاری دستگاه شما و یا حتی فهرست تماسهایی است که شما داشتهاید.
همه این اپها این کار را به صورت قانونی انجام میدهند! اپهای اندروید [در هنگام نصب] سیاستهای حریمخصوصی خود را به کاربر معرفی کرده و از او برای استفاده دادههای شخصیاش اجازه میگیرند. توسعهدهندگان اپهایی که گفتیم بیش از هر چیز بر این نکته تکیه کردهاند که بیشتر مردم بدون خواندن این سیاستهای حریمشخصی یا دقت در مجوزهایی که به اپها میدهند، آنها را نصب خواهند کرد.
شروع تمام این معضلات زمانی است که یک توسعهدهنده کدهای یک فریمورک تبلیغاتی (Ad Framework) را از سایت یکی از شرکتهای تبلیغاتی دانلود میکند. تعداد این شرکتها به بیش از 400 عدد میرسد و فهرست همه آنها در این آدرس موجود است. این فریمورکها نمایش تبلیغات در اپها را برای توسعهدهندگان ساده کرده و رسیدن آنها به پول (در اثر کلیک کاربران روی تبلیغات) را ممکن میکند.
چون توسعهدهندگان اپهای رایگان تنها از این طریق (در واقع فروختن دادههای کاربران به شرکتهای تبلیغاتی) میتوانند درآمد کسب کنند، عده کمی از آنها به اینکه فریمورک مورد استفاده کدام دادههای کاربر را جمعآوری میکند اهمیت میدهند.
لیویو آرسنه (Liviu Arsene) محقق بیتدیفندر میگوید: «چون آنها این کدها را کپی و پیست میکنند، به دیباگ کردن آن اهمیت نمیدهند. واقعا کد را بررسی نکرده و نمیدانند که چه دادههایی را جمعآوری خواهد کرد. و شرط میبندم که آنها به این موضوع اهمیت نخواهند داد.»
اما همه چیز همین جا متوقف نمیشود
سیاستهای حریمخصوصی اپها معمولا هدفهای جاهطلبانهتر و تهاجمیتری دارند. هدف بیشتر آنها این است که راه را برای آپدیتهای آینده هموار کنند و از طریق آنها بتوانند اطلاعات بیشتری را از کاربران جمعآوری کنند.
به عنوان مثال Airpush؛ دومین شبکه بزرگ تبلیغاتی که توسط برنامهنویسان اندروید استفاده میشود، را در نظر بگیرید. فریمورک این شبکه در بیش از 40هزار اپ مورد استفاده قرار گرفته است. بخشی از متن سیاست حریمخصوصی کاربران آن را در ادامه میبینید:
[I]n accordance with the permissions you have granted, we may collect your device ID, device make and model, device IP address, mobile web browser type and version, mobile carrier, real-time location information, email address, phone number and a list of the mobile applications on your device.
با این توافقنامه، کاربر به این فریمورک اجازه میدهد ID یا شماره انحصاری دستگاه، نوع و مدل دستگاه، آدرس IP، نوع و نسخه مرورگر وب، کریر مخابراتی مورد استفاده، دادههای موقعیت مکانی، آدرس ایمیل، شماره تلفن و فهرست برنامههای نصب شده روی دستگاهش را جمعآوری کرده و مورد استفاده قرار دهد. در ادامه این متن آمده است که Airpush ممکن است این اطلاعات را در اختیار شرکای طرف سوم، توزیعکنندههای دیگر و مشاوریناش نیز قرار دهد! با توجه به اینکه داده کاربر پس از خروج از دستگاه در اختیار سازمانها و شرکتهای بسیار زیادی خواهد بود، امکان تعیین اینکه از آن برای چه مقاصدی استفاده خواهد شد عملا وجود ندارد.
به این ترتیب امکان استفاده غیرقانونی از این اطلاعات به طور فزایندهای فراهم خواهد شد. تصور کنید یکی از آن شرکای طرف سوم توسط شرکت دیگری خریداری شود که اهمیت چندانی برای حریمخصوصی قائل نباشد یا کامپیوترهایش هک شوند. در این صورت دادههای کاربران به سادگی در اختیار مجرمان سایبری خواهد بود.
مقامات دولتی هم با این موضوع موافقند که با معضل بزرگی روبرو هستیم
مقامات دولتی هم اعلام کردهاند که مشکل بزرگی در این میان وجود دارد. به گزارش وال استریت ژورنال، جان لایبوویتز (Jon Leibowitz) رییس کمیسون تجارت فدرال (ّFederal Trade Commission) گفته است: «فناوریهای موبایل چالشهای منحربفرد و خاصی را در زمینه حریمخصوصی به بار آوردهاند. برخی این وضعیت را با غرب وحشی مقایسه میکنند!»
FTC از صنایع موبایل خواسته است تا قوانین سختگیرانهتری را برای کنترل حریمخصوصی کاربران وضع کنند و به کاربران اجازه دهند که در مورد ردگیری شدن توسط شبکههای تبلیغاتی مختار باشند. این کمیسیون همچنین از اپها میخواهد که به وضوح اعلام کنند چه دادههایی را مرود استفاده قرار خواهند داد.
تنها توصیه رایگان (!!) به شما این است که بدون بررسی دقیق سیاست حریمخصوصی و توافقنامهها اپی را نصب نکنید و اپهای رایگان را با چنان دقتی مورد استفاده قرار دهید که گویی بدافزارهایی هستند که قصد جمعآوری همه اطلاعات شما را دارند!
منبع (+)
بررسی اینکه آیا اپ مورد نظر اطلاعات خصوصی ما رو برای سرور خاصی ارسال کنه یا نه از تخصص یک کاربر معمولی خارج هست. کاش نهاد هایی بودند که این کار رو انجام میدادند و اپ های اینچنینی رو لو میدادند :D
یک مدت کارم شده بود نصب هر نرم افزاری که بدستم میرسید.
ممنون
با اینکه با کلیت مطلب موافق هستم و فکر میکنم باید در این زمینه کاری کرد، اما تصور میکنم کمی هم به قول خودمان پیاز داغش را هم زیاد کردهاید!
نکته اول اینکه در بسیاری از موارد از این اطلاعات جهت بهبود تجربه کاربری استفاده میشود. مثلا اپ با خواندن لیست مخاطبان شما کمک میکند تا اگر قبلا کسی از دوستانتان کاربر اپ هست بدانید و با او در ارتباط باشید. یا اینکه با استفاده از اطلاعات مربوط به دستگاههای کاربران سعی میکنند قشر مخاطب اپ را بیشتر بشناسند و به تناسب آن در آینده تغییراتی در اپ اعمال کنند.
نکته دوم اما این است که اصولا چنین اطلاعاتی چندان محرمانه نیست که افشای آن بتواند حداقل برای افراد عادی مشکلی ایجاد نماید. درست است که میتوان سواستفادههایی انجام داد، اما باید در نظر داشته باشیم که برنامهنویسان و یا شرکتها خلافکارهای بینالمللی یا باندهای قاچاق مواد مخدر نیستند! احتمال سواستفادههایی که باعث ایجاد مشکل برای کاربر شود چندان زیاد نیست.
نکته سوم: در سالهای اخیر و با توجه به گسترش روزافزون ارتباطات، دیگر حریم خصوصی به قوت سابق معنی ندارد. فراموش نکنیم که حتی در همین ایران خودمان نیز مردم روزانه اطلاعات و موارد بسیاری درباره خودشان را (که سابقا شخصی و محرمانه تلقی میشد) در فیسبوک و شبکههای دیگر منتشر میکنند. اگر یادتان باشد سالهای پیش اگر عکسی یا فیلمی از مراسم عروسی کسی در ایران به قول معروف لو میرفت و منتشر میشد، جنجالی گسترده به وجود میآمد و از نظر بسیاری باعث بیآبرویی و خجالت تلقی میشد، اما این روزها بسیاری از ایرانیان به میل خود و بدون هیچ مشکلی چنین محتواهایی را نیز در محیط شبکههای اجتماعی منتشر میکنند.
نکته چهارم: تاکید بر “اندروید” در عنوان مطلب و در برخی قسمتهای خود مطلب اصلا قابل درک نیست! کاش به جای آن از واژههای عمومی استفاده میکردید، چون اصولا این مسایل امنیتی برای همه سیستمهای موبایل مطرح است. البته متوجه هستم که مطلب ترجمه است و تالیف خودتان نیست، اما کلا خب برای ما فنهای اندروید خوش نیامد :)
و نکته آخر: دکتر مجیدی عزیز، پوسته جدید وبلاگ بسیار زیبا و کاراست، اما ای کاش از فونتهای جدیدتر و بهتری برای متن مطالب استفاده میشد. فکر نمیکنید Tahoma دیگر خیلی از دور خارج باشد؟
دوست گرامی1- اقای شریف پور مطلب را ترجمه کرده نه دکتر2-تعصب بیخود چرا؟من تبلت گرفتم چندتایی برنامه نصب کردم تافیها خالدون کاربر بایک کلیک روی نرم افزار زپرتی ازدست میره .اینهمه تعریف اندروئید با این متون حق امضا نمخواند-گوشی من ویندوز موبایله-6/5 -مطمئنم مال اپل هم بدرد من ایرانی نمیخوره .3-اماصحبتتان درمرد بررسی همه سیستمهای تلفن و… صحیحه.نمیدانم این وین 8 هم به همین درد مبتلاست یا نه(پولش رو هم ندارم)4-گمانم باید سراغ جاوا برم یا بادا یا بلک بری چه میدانم . با احترام .
دستم درد گرفته وگرنه باز هم مینالیدم .
دوست خوبم بنده هم متوجه هستم که نویسنده مطلب شخص دیگری است، هرچه باشد دقیقا زیر عنوان مطلب نام نویسنده ذکر شده و بعید میدانم کسی به آن توجه نکند.
اما در مورد تعصب، اتفاقا من اصلا آدم متعصبی نیستم، در هیچ زمینهای. اینجا هم به دور از تعصب سخن گفتم، از نظر بنده اندروید و iOS و ویندوز فون و سیمبیان و … در “اصل” تفاوتی ندارند، ابزارهایی هستند برای بهبود کیفیت حیات ما. در این میان به دلیل علایق و ترجیحات شخصی، به اندروید بیشتر تمایل دارم و اصطلاحا فن اندروید هستم. همین!
و آخر هم اینکه باز هم بر نظرم تاکید دارم که اصولا اینگونه نقض حریم خصوصی (در هر سیستمی، جدا از سیستم عامل) برای افراد عادی با استفادههای روزمره نمیتواند خطر خاصی ایجاد کند. به نظر میرسد نهایت محتوای خصوصی کاربران عادی به عکسها یا فیلمهای شخصی یا موقعیت مکانی یا چنین چیزهایی خلاصه میشوند. که مسلما چنین مواردی برای کمتر خرابکاری جذاب خواهند بود. مگر آنکه آن فرد به صورت اختصاصی هدف اخاذی و هک قرار گرفته باشد.
با احترام
مبارزه با مشکلاتی که برمیشمارید، بخشی از انگیزههای نخستین کسانی بود که جنبش نرمافزارهای آزاد را پدید آوردند. نرمافزارها روزبهروز نقش مهمتری در زندگی ما بازی میکنند. برای همین است که نباید به نرمافزارهای انحصاری و غیرآزاد اجازه دهیم که کنترل زندگیمان را بهدست بگیرند.
زیرا نرمافزار آزاد را شما کنترل میکنید، و نرمافزار غیرآزاد شما را کنترل میکند!
یک منبع خوب برای نرمافزارهای آزاد اندروید اینجاست که من تقریباً همهٔ برنامههای دستگاه اندرویدم را از آن نصب میکنم:
https://f-droid.org
بهترین کار برای شما که به آزدی نرمافزار اهمیت میدی استفاده از f-droid هست که توش نه تنها میشه فقط نرمافزارهای آزاد رو دریافت و بهروزرسانی کرد، بلکه نرمافزارهایی که داخلش هستند رو هم از هرگونه تبلیغافزاری تمیز میکنه و داخلش مخازنش قرار میده
لطفا یه پست جدا در مورد https://f-droid.org ایجاد کنید و توضیحات بیشتری بدید و از لحاظ امنیت هم بررسی کنید
علیالحساب در این صفحه از انجمن اوبونتوی فارسی دربارهٔ F-droid یه کم حرف زده:
http://forum.ubuntu.ir/index.php?topic=43062.0