fbpx

7 من كل 10 تطبيقات في الهواتف الذكية تشارك بياناتك مع خدمات الجهات الأخرى

إلى أين تذهب كل هذه البيانات؟
nmedia via shutterstock.com

نارسيو فالينا- رودريغيز، جامعة كاليفورنيا، بيركلي وسريكانث سونداريسان، جامعة برينستون

يمكن أن تكشف هواتفنا المحمولةالكثير عن أنفسنا: أين نعيش ونعمل؛ من هم عائلتنا وأصدقائنا ومعارفنا؛ كيف (وحتى ماذا) نتواصل معهم؛ وعاداتنا الشخصية. مع كل المعلومات المخزنة عليها، فليس من المستغرب أن يتخذ مستخدمو الأجهزة المحمولة خطوات لحماية خصوصيتهم، مثل استخدامأرقام التعريف الشخصية أو رموز المرور لإلغاء قفل هواتفهم.

إن البحث الذي نجريه نحن وزملاؤنا يحدد ويكشف تهديداً كبيراً يفوت على معظم النا : أكثر من 70 بالمئةمنتطبيقات الهواتف الذكية تقوم بالإبلاغ عن البيانات الشخصية لشركات تتبع تعود لجهات خارجية مثل Google Analytics أو Facebook Graph API أو Crashlytics.

فعندما يقوم الأشخاص بتثبيت تطبيق Android أو iOS جديد، فإنه يطلب إذن المستخدم قبل الوصول إلى المعلومات الشخصية. عموماً، هذا أمر إيجابي. وبعض المعلومات التي تجمعها هذه التطبيقات ضرورية لعملها بشكل صحيح: فلن يكون تطبيق الخرائط مفيداً تقريباً إذا لم يتمكن من استخدام بيانات GPS للحصول على الموقع.

ولكن بمجرد حصول التطبيق على إذن لجمع هذه المعلومات، يمكنه مشاركة بياناتك مع أي شخص يريده مطور التطبيق ذلك – مما يسمح لشركات الجهات الخارجية بتتبع مكانك ومدى سرعتك وما تفعله.

المساعدة والمخاطر من مكتبات الكود

لا يجمع التطبيق البيانات لاستخدامها على الهاتف نفسه فقط. تطبيقات الخرائط، على سبيل المثال، ترسل موقعك إلى خادم (server) يديره مطور التطبيق يحسب الاتجاهات من مكانك إلى الوجهة المطلوبة.

ويمكن للتطبيق إرسال البيانات إلى مكان آخر أيضاً. كما هو الحال مع مواقع الويب، تتم كتابة العديد من تطبيقات الجوال من خلال الجمع بين الوظائف المختلفة، التي تم ترميزها مسبقاً من قبل المطورين والشركات الأخرى، في ما يسمى مكتبات الجهات الخارجية (الطرف الثالث). وتساعد هذه المكتبات المطورين على تتبع تفاعل المستخدم والتواصل مع وسائل التواصل الاجتماعي وكسب المال من خلال عرض الإعلانات والميزات الأخرى، دون الحاجة إلى كتابتها من البداية.

ومع ذلك، بالإضافة إلى المساعدة القيمة، تقوم معظم المكتبات أيضاً بجمع البيانات الحساسة وإرسالها إلى خوادمها عبر الإنترنت – أو إلى شركة أخرى بمجملها. وقد يتمكن مؤلفو المكتبة الناجحون من تطوير ملفات تعريف رقمية مفصلة للمستخدمين. على سبيل المثال، قد يمنح الشخص أحد التطبيقات إذناً لمعرفة موقعه الجغرافي، كما قد يمنحه حق وصول آخر إلى جهات الاتصال (contacts) الخاصة به. إن هذه أذونات منفصلة في البداية، واحدة لكل تطبيق. ولكن إذا استخدم كلا التطبيقين نفس مكتبة الطرف الثالث وشاركا أجزاء مختلفة من المعلومات، فيمكن لمطور المكتبة ربط الاجزاء معاً.

ولن يعرف المستخدمون أبداً، نظراً لأن التطبيقات غير مطلوب منها إخبار المستخدمين بمكتبات البرامج التي تستخدمها. وقلة قليلة فقط من التطبيقات تنشر سياساتها المتعلقة بخصوصية المستخدم؛ وإذا فعلوا ذلك، فعادةً ما تكون في مستندات قانونية طويلةلن يقرأها الشخص العادي، ناهيك عن فهمها.

تطوير تطبيق Lumen

تسعى أبحاثنا إلى الكشف عن كمية البيانات التي يمكن جمعها دون معرفة المستخدمين، وإعطاء المستخدمين المزيد من التحكم في بياناتهم. وللحصول على صورة عنالبيانات التي يتم جمعها ونقلها من الهواتف الذكية للأشخاص، قمنا بتطوير تطبيق Android مجاني خاص بنا، يسمى Lumen Privacy Monitor. وهو يقوم بتحليل تطبيقات المرور المرسلة، للإبلاغ عن التطبيقات والخدمات عبر الإنترنت التي تجمع البيانات الشخصية بنشاط.

ونظراً لأن Lumen يتعلق بالشفافية، حيث يمكن لمستخدم الهاتف رؤية المعلومات التي تجمعها التطبيقات المثبتة في الوقت الفعلي ومع من يشاركون هذه البيانات. نحن نحاول إظهار تفاصيل سلوك التطبيقات الخفي بطريقة سهلة الفهم. ويتعلق الأمر بالبحث أيضاً، لذلك نسأل المستخدمين عما إذا كانوا سيسمحون لنا بجمع بعض البيانات حول ما يلاحظ Lumen أن تطبيقاتهم تفعله – لكن هذا لا يتضمن أي بيانات شخصية أو حساسة للخصوصية. حيث يتيح لنا هذا الوصول الفريد إلى البيانات دراسة كيفية جمع تطبيقات الجوال للبيانات الشخصية للمستخدمين ومع من يشاركون البيانات على نطاق غير مسبوق.

وعلى وجه الخصوص ، يتتبع Lumen التطبيقات التي تعمل على أجهزة المستخدمين، وما إذا كانت ترسل بيانات حساسة للخصوصية من الهاتف، وما هي مواقع الإنترنت التي ترسل البيانات إليها، وبروتوكول الشبكة الذي يستخدمونه وأنواع المعلومات الشخصية التي يرسلها كل تطبيق إلى كل موقع. يقزم Lumen بتحليل حركة مرور التطبيقات محلياً على الجهاز، ويجعل هذه البيانات مجهولة قبل إرسالها إلينا للدراسة: إذا سجلت خرائط Google موقع GPS للمستخدم وأرسلت هذا العنوان المحدد إلى maps.google.com ، يخبرنا Lumen ، “حصلت خرائط Google على موقع GPS وأرسلته إلى maps.google.com ”- وليس مكان هذا الشخص بالفعل.

أجهزة التتبع في كل مكان

تم العثور على واجهة مستخدم Lumen، التي تظهر تسرب البيانات ومخاطر خصوصيتها، للعبة Android متنقلة تسمى “Socks Odd”.
ICSI، CC BY-ND

وقد سمح لنا أكثر من 1600 شخص استخدموا Lumen منذ أكتوبر 2015 بتحليل أكثر من 5000 تطبيق. حيث اكتشفنا 598 موقع إنترنت من المرجح أن تتبع المستخدمين لأغراض الإعلان، بما في ذلك خدمات وسائل التواصل الاجتماعي مثل الفيسبوك، وشركات الإنترنت الكبيرة مثل Google و Yahoo، وشركات التسويق عبر الإنترنت تحت مظلة مقدمي خدمات الإنترنت مثل Verizon Wireless.

شرح Lumen للتسريب في أجهزة Android ID .
ICSI، CC BY-ND

لقد وجدنا أن أكثر من 70 في المئة من التطبيقات التي درسناها متصلة بجهاز تعقب واحد على الأقل، و15 في المئة منها متصلة بخمسة أجهزة تعقب أو أكثر. إن واحدً من كل أربعة أجهزة تعقب حصلت على معرف (identifier) جهاز فريد واحد على الأقل، مثل رقم الهاتف أو رقم IMEI الفريد الخاص بالجهاز المكون من 15 رقماً. تعد المعرفات الفريدة (Unique identifiers) أمراً حاسماً لخدمات التتبع عبر الإنترنت لأنها يمكن أن تربط أنواعاً مختلفة من البيانات الشخصية التي تقدمها تطبيقات مختلفة بشخص أو جهاز واحد. معظم المستخدمين، حتى أولئك المهتمين بالخصوصية، ليسوا على دراية بهذه الممارسات المخفية.

أكثر من مجرد مشكلة التلفون المحمول

يعد تتبع المستخدمين على أجهزتهم المحمولة مجرد جزء من مشكلة أكبر. إن أكثر من نصف متتبعي التطبيقات الذين حددناهم يتتبعون أيضاً المستخدمين من خلال مواقع الويب. وبفضل هذه التقنية، التي تسمى التتبع “عبر الأجهزة” ( “cross-device”)، حيث يمكن لهذه الخدمات بناء ملف شخصي أكثر اكتمالا عن شخصيتك على الانترنت.

ومواقع التتبع الفردية ليست بالضرورة مستقلة عن غيرها. وبعضها مملوك لنفس الكيان المؤسسي، والبعض الآخر يمكن ابتلاعه في عمليات الاندماج المستقبلية. فعلى سبيل المثال، تمتلك شركة Alphabet، الشركة الأم لـ Google، العديد من نطاقات التتبع التي درسناها، بما في ذلك Google Analytics أو DoubleClick أو AdMob، ومن خلالها تقوم بتجميع البيانات من أكثر من 48 في المائة من التطبيقات التي درسناها.

لقد تمت ملاحظة عمليات نقل البيانات بين مواقع مستخدمي Lumen (على اليسار) ومواقع خوادم الجهات الخارجية (الطرف الثالث) (على اليمين). وكثيرا ما تعبر حركة المرور الحدود الدولية.
ICSI، CC BY-ND

هويات (identities) المستخدمين على الإنترنت ليست محمية بموجب قوانين بلدهم الأصلي. وجدنا بيانات يتم نقلها عبر الحدود الوطنية، وغالباً ما ينتهي بها الأمر في بلدان ذات قوانين خصوصية مشكوك فيها. حيث يتم إجراء أكثر من 60 في المائة من الاتصالات بمواقع التتبع بخوادم في الولايات المتحدة والمملكة المتحدة وفرنسا وسنغافورة والصين وكوريا الجنوبية – ستة دول نشرت تقنيات المراقبة الجماعية. ويمكن للوكالات الحكومية في تلك الأماكن الوصول إلى هذه البيانات، حتى إذا كان المستخدمون في بلدان ذات قوانين خصوصية أقوى مثل ألمانيا أو سويسرا أو إسبانيا.

توصيل عنوان MAC للجهاز إلى عنوان فعلي (ينتمي إلى ICSI) باستخدام Wigle.
ICSI، CC BY-ND

والأمر الأكثر إثارة للقلق هو أننا لاحظنا أجهزة تتبع في التطبيقات التي تستهدف الأطفال. فمن خلال اختبار تطبيقات 111 طفل في مختبرنا، لاحظنا أن 11 منهم سربوا معرفاً فريداً، عنوان MAC، لجهاز توجيه Wi-Fi router الذي كان متصلاً به. وهذه مشكلة، لأنه من السهل البحث عبر الإنترنت عن المواقع الفعلية المرتبطة بعناوين MAC معينة. إن جمع المعلومات الخاصة عن الأطفال، بما في ذلك مواقعهم وحساباتهم وغيرها من المعرفات الفريدة، قد ينتهك قواعد لجنة التجارة الاتحادية التي تحمي خصوصية الأطفال.

مجرد نظرة صغيرة

وعلى الرغم من أن بياناتنا تشمل العديد من تطبيقات Android الأكثر شعبية، إلا أنها عينة صغيرة من المستخدمين والتطبيقات، وبالتالي من المرجح أن تكون هي مجموعة صغيرة من جميع أجهزة التتبع الممكنة. قد تكون النتائج التي توصلنا إليها مجرد خدش لسطح ما من المرجح أن يكون مشكلة أكبر بكثير تمتد عبر الولايات القضائية والأجهزة والمنصات التنظيمية.

ومن الصعب معرفة ما قد يفعله المستخدمون حيال ذلك. وقد يؤدي حظر المعلومات الحساسة من مغادرة الهاتف إلى إضعاف أداء التطبيق أو تجربة المستخدم: قد يرفض التطبيق العمل إذا لم يتمكن من تحميل الإعلانات. في الواقع، فإن حظر الإعلانات يضر بمطوري التطبيقات من خلال حرمانهم من مصدر للدخل لدعم عملهم على التطبيقات، والتي عادة ما تكون مجانية للمستخدمين.

فإذا كان الناس أكثر استعداداً لدفع المطورين مقابل التطبيقات، فقد يساعد ذلك، على الرغم من أنه ليس حلًاً كاملاً. وجدنا أنه في حين أن التطبيقات المدفوعة تميل إلى الاتصال بعدد أقل من مواقع التتبع، إلا أنها لا تزال تتعقب المستخدمين وتتصل بخدمات التتبع الخاصة بطرف ثالث.

إن الشفافية والتعليم والأطر التنظيمية القوية هي المفتاح. حيث يحتاج المستخدمون إلى معرفة المعلومات التي يتم جمعها، ومن قبل من، وما الغرض من استخدامها. وعندئذ فقط يمكننا كمجتمع أن نقرر ما هي حماية الخصوصية المناسبة، ونضعها في مكانها. إن النتائج التي توصلنا إليها، وتلك التي توصل إليها العديد من الباحثين الآخرين، يمكن أن تساعد على قلب الطاولة وتتبع المتتبعين نفسها.المحادثة

نارسيو فالينا- رودريغيز،أستاذ مساعد باحث، معهد شبكات IMDEA، مدريد، إسبانيا؛ باحث، شبكة وأمن، المعهد الدولي لعلوم الحاسوب، جامعة كاليفورنيا، بيركلي وسريكانث سونداريسان،زميل باحث في علوم الكمبيوتر، جامعة برينستون

تمت ترجمة هذه المقالة من قبل محرري كوربيديا نيوز CorepaediaNews

يتم إعادة نشر هذه المقالة من شبكة The Conversation تحت ترخيص المشاع الإبداعي. قراءة المادة الأصلية.

The way we use data is a life or death matter – from the refugee crisis to COVID-19