وقتی اپ‌های رایگان اندروید، بد می‌شوند

پلتفرم اندروید در ایران بسیار محبوب است و از حیث همه‌گیر بودن، کاملا بر سیستم عامل‌های موبایلی دیگر برتری دارد، علاوه بر ویژگی‌های بسیار عالی خود این سیستم، تنوع زیاد ابزارهای اندرویدی باعث شده است که هر کسی با هر سطح بودجه‌ای بتواند یک گجت هوشمند اندرویدی بخرد.

اما در این میان چیز نگران‌کننده، کم‌توجهی کاربران به اپلیکیشن‌هایی است که نصب می‌کنند، در ایران به خاطر بسته بودن «گوگل پلی» بسیاری از کاربران بی‌مهابا هر اپلیکیشنی را که در هر سایتی پیدا می‌کنند، نصب می‌کنند. غافل از اینکه این امر ممکن است مشکلات امنیتی برایشان در بر داشته باشد.

من شخصا نمی‌دانم که دستکاری یک اپلیکیشن تا چه حد ساده و امکانپذیر است، اما تصور می‌کنم بتوان خیلی از اپلیکیشن‌های محبوب را طوری دستکاری کرد که حریم شخصی کاربران را با مخاطره مواجه کنند.

از سوی دیگر حتی خود اپلیکیشن‌های رایگان روی گوگل پلی هم کاملا ایمن نیستند و همان طور که در این مقاله شرح خواهیم داد،‌ آنها هم می‌توانند «گاهی» عملکردی شبیه بدافزارها داشته باشند.

پرواضح است که دغدغه‌های اینچنینی محدود به اندروید نیست، مثلا یکی از نسخه‌های پیشین اپلیکیشن محبوب Path برای iOS، فهرست تماس‌ها یا address book کاربران را بدون اطلاع آنها به سرور خود آپلود این شبکه آپلود می‌کرد، بعد از انتشار خبر، رئیس Path به سرعت عذرخواهی کرد، همه آدرس‌ها را از روی سرور خود پاک کرد و اپلیکیشن را به‌روز کرد. (+)


گردش مالی بوجود آمده میان توسعه‌دهندگان اپ‌های رایگان اندروید و شبکه‌های تبلیغاتی باعث شده مرز میان بسیاری از این اپ‌ها و بدافزار کمرنگ و کمرنگ‌تر شود. با این‌که این نرم‌افزارهای قانونی و تایید شده، گذرواژه‌های کاربران را نمی‌دزدند، اما به سادگی و شکل‌های گوناگون حریم خصوصی کاربران را مورد تعرض قرار می‌دهند. معمولا این نقض حریم خصوصی کاربران از طریق سرک کشیدن در فهرست تماس‌های آن‌ها یا استفاده از اطلاعات موقعیت مکانی کاربر اتفاق می‌افتد، اما به همین موارد ختم نشده و ممکن است بدتر هم بشود.

AndroidFreeApps

این اپ‌ها به دنبال چه هستند؟

در فاصله سپتامبر گذشته تا ماه مارس امسال شرکت امنیتی مشهور بیت‌دیفندر بیش از 130 هزار برنامه پراستفاده اندروید موجود در گوگل‌پلی را مورد بررسی قرار داده است. یافته‌های آن‌ها نشان می‌دهد که حدود 13% این اپ‌ها شماره تلفن‌های فهرست مخاطبین شما را بدون هیچ هشداری جمع‌آوری کرده، 12% آن‌ها داده‌‌های موقعیت مکانی شما را ذخیره می‌کنند و 8% نیز آدرس ایمیل شما را مورد (سوء) استفاده قرار می‌دهند. در این آمار اپ‌هایی هم بودند که یک یا چند مورد این اطلاعات را پاک می‌کردند!

بسیاری از اپ‌ها به همین هم قانع نیستند. داده دیگری که توجه آن‌ها را جلب می‌کند، سوابق فعالیت اینترنتی شما، شماره انحصاری دستگاه شما و یا حتی فهرست تماس‌هایی است که شما داشته‌اید.

همه این اپ‌ها این کار را به صورت قانونی انجام می‌دهند! اپ‌های اندروید [در هنگام نصب] سیاست‌های حریم‌خصوصی خود را به کاربر معرفی کرده و از او برای استفاده داده‌های شخصی‌اش اجازه می‌گیرند. توسعه‌دهندگان اپ‌هایی که گفتیم بیش از هر چیز بر این نکته تکیه کرده‌اند که بیشتر مردم بدون خواندن این سیاست‌های حریم‌شخصی یا دقت در مجوزهایی که به اپ‌ها می‌دهند، آن‌ها را نصب خواهند کرد.

noncompatible-screen-shot-2

شروع تمام این معضلات زمانی است که یک توسعه‌دهنده کدهای یک فریم‌ورک تبلیغاتی (Ad Framework) را از سایت یکی از شرکت‌های تبلیغاتی دانلود می‌کند. تعداد این شرکت‌ها به بیش از 400 عدد می‌رسد و فهرست همه آن‌ها در این آدرس موجود است. این فریم‌ورک‌ها نمایش تبلیغات در اپ‌ها را برای توسعه‌دهندگان ساده کرده و رسیدن آن‌ها به پول (در اثر کلیک کاربران روی تبلیغات) را ممکن می‌کند.

چون توسعه‌دهندگان اپ‌های رایگان تنها از این طریق (در واقع فروختن داده‌های کاربران به شرکت‌های تبلیغاتی) می‌توانند درآمد کسب کنند، عده کمی از آن‌ها به اینکه فریم‌ورک مورد استفاده کدام داده‌های کاربر را جمع‌آوری می‌کند اهمیت می‌دهند.

لیویو آرسنه (Liviu Arsene) محقق بیت‌دیفندر می‌گوید: «چون آن‌ها این کدها را کپی و پیست می‌کنند، به دیباگ کردن آن اهمیت نمی‌دهند. واقعا کد را بررسی نکرده و نمی‌دانند که چه داده‌هایی را جمع‌آوری خواهد کرد. و شرط می‌بندم که آن‌ها به این موضوع اهمیت نخواهند داد.»

اما همه چیز همین جا متوقف نمی‌شود

سیاست‌های حریم‌خصوصی اپ‌ها معمولا هدف‌های جاه‌طلبانه‌تر و تهاجمی‌تری دارند. هدف بیشتر آن‌ها این است که راه را برای آپدیت‌های آینده هموار کنند و از طریق آن‌ها بتوانند اطلاعات بیشتری را از کاربران جمع‌آوری کنند.

به عنوان مثال Airpush؛ دومین شبکه بزرگ تبلیغاتی که توسط برنامه‌نویسان اندروید استفاده می‌شود، را در نظر بگیرید. فریم‌ورک این شبکه در بیش از 40هزار اپ مورد استفاده قرار گرفته است. بخشی از متن سیاست حریم‌خصوصی کاربران آن را در ادامه می‌بینید:

 [I]n accordance with the permissions you have granted, we may collect your device ID, device make and model, device IP address, mobile web browser type and version, mobile carrier, real-time location information, email address, phone number and a list of the mobile applications on your device.

با این توافق‌نامه، کاربر به این فریم‌ورک اجازه می‌دهد ID یا شماره انحصاری دستگاه، نوع و مدل دستگاه، آدرس IP، نوع و نسخه مرورگر وب، کریر مخابراتی مورد استفاده، داده‌های موقعیت مکانی، آدرس ایمیل، شماره تلفن و فهرست برنامه‌های نصب شده روی دستگاهش را جمع‌آوری کرده و مورد استفاده قرار دهد. در ادامه این متن آمده است که Airpush ممکن است این اطلاعات را در اختیار شرکای طرف سوم، توزیع‌کننده‌های دیگر و مشاورین‌اش نیز قرار دهد! با توجه به این‌که داده کاربر پس از خروج از دستگاه در اختیار سازمان‌ها و شرکت‌های بسیار زیادی خواهد بود، امکان تعیین این‌که از آن برای چه مقاصدی استفاده خواهد شد عملا وجود ندارد.

airpush-optout

به این ترتیب امکان استفاده غیرقانونی از این اطلاعات به طور فزاینده‌ای فراهم خواهد شد. تصور کنید یکی از آن شرکای طرف سوم توسط شرکت دیگری خریداری شود که اهمیت چندانی برای حریم‌خصوصی قائل نباشد یا کامپیوترهایش هک شوند. در این صورت داده‌های کاربران به سادگی در اختیار مجرمان سایبری خواهد بود.

مقامات دولتی هم با این موضوع موافقند که با معضل بزرگی روبرو هستیم

مقامات دولتی هم اعلام کرده‌اند که مشکل بزرگی در این میان وجود دارد. به گزارش وال استریت ژورنال، جان لایبوویتز (Jon Leibowitz) رییس کمیسون تجارت فدرال (ّFederal Trade Commission) گفته است: «فناوری‌های موبایل چالش‌های منحربفرد و خاصی را در زمینه حریم‌خصوصی به بار آورده‌اند. برخی این وضعیت  را با غرب وحشی مقایسه می‌کنند!»

FTC از صنایع موبایل خواسته است تا قوانین سخت‌گیرانه‌تری را برای کنترل حریم‌خصوصی کاربران وضع کنند و به کاربران اجازه دهند که در مورد ردگیری شدن توسط شبکه‌های تبلیغاتی مختار باشند. این کمیسیون همچنین از اپ‌ها می‌خواهد که به وضوح اعلام کنند چه داده‌‌هایی را مرود استفاده قرار خواهند داد.

تنها توصیه رایگان (!!) به شما این است که بدون بررسی دقیق سیاست حریم‌خصوصی و توافق‌نامه‌ها اپی را نصب نکنید و اپ‌های رایگان را با چنان دقتی مورد استفاده قرار دهید که گویی بدافزارهایی هستند که قصد جمع‌آوری همه اطلاعات شما را دارند!

منبع (+)

9 دیدگاه

  1. بررسی اینکه آیا اپ مورد نظر اطلاعات خصوصی ما رو برای سرور خاصی ارسال کنه یا نه از تخصص یک کاربر معمولی خارج هست. کاش نهاد هایی بودند که این کار رو انجام میدادند و اپ های اینچنینی رو لو میدادند :D

  2. با اینکه با کلیت مطلب موافق هستم و فکر می‌کنم باید در این زمینه کاری کرد، اما تصور می‌کنم کمی هم به قول خودمان پیاز داغش را هم زیاد کرده‌اید!
    نکته اول اینکه در بسیاری از موارد از این اطلاعات جهت بهبود تجربه کاربری استفاده می‌شود. مثلا اپ با خواندن لیست مخاطبان شما کمک می‌کند تا اگر قبلا کسی از دوستان‌تان کاربر اپ هست بدانید و با او در ارتباط باشید. یا اینکه با استفاده از اطلاعات مربوط به دستگاه‌های کاربران سعی می‌کنند قشر مخاطب اپ را بیشتر بشناسند و به تناسب آن در آینده تغییراتی در اپ اعمال کنند.
    نکته دوم اما این است که اصولا چنین اطلاعاتی چندان محرمانه نیست که افشای آن بتواند حداقل برای افراد عادی مشکلی ایجاد نماید. درست است که می‌توان سواستفاده‌هایی انجام داد، اما باید در نظر داشته باشیم که برنامه‌نویسان و یا شرکت‌ها خلاف‌کارهای بین‌المللی یا باند‌های قاچاق مواد مخدر نیستند! احتمال سواستفاده‌هایی که باعث ایجاد مشکل برای کاربر شود چندان زیاد نیست.
    نکته سوم: در سال‌های اخیر و با توجه به گسترش روزافزون ارتباطات، دیگر حریم خصوصی به قوت سابق معنی ندارد. فراموش نکنیم که حتی در همین ایران خودمان نیز مردم روزانه اطلاعات و موارد بسیاری درباره خودشان را (که سابقا شخصی و محرمانه تلقی می‌شد) در فیس‌بوک و شبکه‌های دیگر منتشر می‌کنند. اگر یادتان باشد سال‌های پیش اگر عکسی یا فیلمی از مراسم عروسی کسی در ایران به قول معروف لو می‌رفت و منتشر می‌شد، جنجالی گسترده به وجود می‌آمد و از نظر بسیاری باعث بی‌آبرویی و خجالت تلقی می‌شد، اما این روزها بسیاری از ایرانیان به میل خود و بدون هیچ مشکلی چنین محتواهایی را نیز در محیط شبکه‌های اجتماعی منتشر می‌کنند.
    نکته چهارم: تاکید بر “اندروید” در عنوان مطلب و در برخی قسمت‌های خود مطلب اصلا قابل درک نیست! کاش به جای آن از واژه‌های عمومی استفاده می‌کردید، چون اصولا این مسایل امنیتی برای همه سیستم‌های موبایل مطرح است. البته متوجه هستم که مطلب ترجمه است و تالیف خودتان نیست، اما کلا خب برای ما فن‌های اندروید خوش نیامد :)
    و نکته آخر: دکتر مجیدی عزیز، پوسته جدید وبلاگ بسیار زیبا و کاراست، اما ای کاش از فونت‌های جدیدتر و بهتری برای متن مطالب استفاده می‌شد. فکر نمی‌کنید Tahoma دیگر خیلی از دور خارج باشد؟

    1. دوست گرامی1- اقای شریف پور مطلب را ترجمه کرده نه دکتر2-تعصب بیخود چرا؟من تبلت گرفتم چندتایی برنامه نصب کردم تافیها خالدون کاربر بایک کلیک روی نرم افزار زپرتی ازدست میره .اینهمه تعریف اندروئید با این متون حق امضا نمخواند-گوشی من ویندوز موبایله-6/5 -مطمئنم مال اپل هم بدرد من ایرانی نمیخوره .3-اماصحبتتان درمرد بررسی همه سیستمهای تلفن و… صحیحه.نمیدانم این وین 8 هم به همین درد مبتلاست یا نه(پولش رو هم ندارم)4-گمانم باید سراغ جاوا برم یا بادا یا بلک بری چه میدانم . با احترام .
      دستم درد گرفته وگرنه باز هم مینالیدم .

      1. دوست خوبم بنده هم متوجه هستم که نویسنده مطلب شخص دیگری است، هرچه باشد دقیقا زیر عنوان مطلب نام نویسنده ذکر شده و بعید می‌دانم کسی به آن توجه نکند.
        اما در مورد تعصب، اتفاقا من اصلا آدم متعصبی نیستم، در هیچ زمینه‌ای. اینجا هم به دور از تعصب سخن گفتم، از نظر بنده اندروید و iOS و ویندوز فون و سیمبیان و … در “اصل” تفاوتی ندارند، ابزارهایی هستند برای بهبود کیفیت حیات ما. در این میان به دلیل علایق و ترجیحات شخصی، به اندروید بیشتر تمایل دارم و اصطلاحا فن اندروید هستم. همین!
        و آخر هم اینکه باز هم بر نظرم تاکید دارم که اصولا اینگونه نقض حریم خصوصی (در هر سیستمی، جدا از سیستم عامل) برای افراد عادی با استفاده‌های روزمره نمی‌تواند خطر خاصی ایجاد کند. به نظر می‌رسد نهایت محتوای خصوصی کاربران عادی به عکس‌ها یا فیلم‌های شخصی یا موقعیت مکانی یا چنین چیزهایی خلاصه می‌شوند. که مسلما چنین مواردی برای کمتر خرابکاری جذاب خواهند بود. مگر آنکه آن فرد به صورت اختصاصی هدف اخاذی و هک قرار گرفته باشد.
        با احترام

  3. مبارزه با مشکلاتی که برمی‌شمارید، بخشی از انگیزه‌های نخستین کسانی بود که جنبش نرم‌افزارهای آزاد را پدید آوردند. نرم‌افزارها روزبه‌روز نقش مهم‌تری در زندگی ما بازی می‌کنند. برای همین است که نباید به نرم‌افزارهای انحصاری و غیرآزاد اجازه دهیم که کنترل زندگی‌مان را به‌دست بگیرند.

    زیرا نرم‌افزار آزاد را شما کنترل می‌کنید، و نرم‌افزار غیرآزاد شما را کنترل می‌کند!

    یک منبع خوب برای نرم‌افزارهای آزاد اندروید اینجاست که من تقریباً همهٔ برنامه‌های دستگاه اندرویدم را از آن نصب می‌کنم:
    https://f-droid.org

    1. بهترین کار برای شما که به آزدی نرم‌افزار اهمیت می‌دی استفاده از f-droid هست که توش نه تنها می‌شه فقط نرم‌افزارهای آزاد رو دریافت و به‌روزرسانی کرد، بلکه نرم‌افزارهایی که داخلش هستند رو هم از هرگونه تبلیغ‌افزاری تمیز می‌کنه و داخلش مخازنش قرار می‌ده

  4. لطفا یه پست جدا در مورد https://f-droid.org ایجاد کنید و توضیحات بیشتری بدید و از لحاظ امنیت هم بررسی کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
[wpcode id="260079"]