برنامههای اندروید چگونه اسرار ما را فاش میکنند؟
بر اساس پژوهشی جدید مشخص شد شرکتهای تبلیغاتی چگونه به سوابق ثبتشده از سوی برنامهنویسان در دستگاههای تلفن همراه دسترسی دارند.
فرادید| ردیابی دیجیتال یکی از موفقیتهای بیدوام دوران همهگیری کووید بود. در اسپانیا، اپلیکیشنی به نام Radar Covid که به کاربران کمک میکرد بدانند نزدیک یک فرد آلوده بودهاند یا خیر، به سرعت شکست خورد.
به گزارش فرادید، این ایده هیچوقت کارساز نبود، اما عامل شکست آن، این بود که به رغم تمام وعدههای اولیه برای حفظ امنیت و حریم شخصی کاربران، یک خطای Google باعث شد دادهها از دستگاههای تلفن همراه اندروید کاربران از طریق یک مکان نامشخص فاش شوند: گزارشهای برنامه (app’s logs).
حالا تحقیقات جدید نشان داده است که اطلاعات شخصی کاربران اندروید همچنان از این طریق فاش میشود و بیشتر از آن چه که باید در دسترس شرکتها قرار میگیرد.
کارملا ترونکوسو، محقق دانشگاه پلیتکنیک فدرال لوزان (EPFL) یک دانشگاه تحقیقاتی دولتی در سوئیس، میگوید: «این تحقیق روزنهی مهمی را آشکار میکند که به خوبی تنظیم یا مطالعه نشده است.» ترونکوسو که رهبری یک گروه اروپاییِ مسئول ایجاد برنامههای ردیابی کووید در سال ۲۰۲۰ را بر عهده داشت، در مورد ضعفهای این فناوری هشدار داده و گفته است: «این یک مشکل کلی است؛ در ردیابی برنامهها و همه چیز! نکته اصلی این است که شما نمیتوانید کاری خصوصی را با طراحی روی پلتفرمی مانند Android انجام دهید که طبق تعریف دارای نقص است.»
گزارشها مانند یک دفتر خاطرات طولانی و جامع هستند که همه چیزهایی را که در یک برنامه اتفاق میافتد ثبت میکند. کاربرد اصلی و پذیرفتهشده آن، شناسایی اشکالات (خطاهای موجود در کد) قبل از انتشار برنامهها برای عموم است. اما در واقعیت، این تنها چیزی نیست که اتفاق میافتد. گوگل از توسعهدهندگان برنامه میخواهد گزارشها را پس از انتشار برنامهها حذف کنند، چون ممکن است حاوی اطلاعات شخصی باشند. اما تحقیقات اخیر نشان میداده است که این گزارشها هنوز وجود دارند و همه سوابق در آنها یافت میشود.
خوان تاپیادور، استاد دانشگاه کارلوس سوم در مادرید و یکی از همکارانش میگوید: «ما متوجه شدیم گزارشها حاوی اطلاعات صرفاً فنی نیست، اما به دلیل بیاحتیاطی یا به عمد ممکن است حاوی دادههای شخصی یا اطلاعاتی باشند که فعالیت کاربر را فاش میکند. نویسنده تحقیق یک مثال در مورد Microsoft Teams یا Discord یا برنامههای دارویی CVS و Drug Mart ارائه میکند که با اطلاعات زیادی سروکار دارند. در مورد Teams میتوان لحظه دقیق تماس کاربر را دانست. در مورد CVS و Drug Mart دستههای محصول مورد استفاده برای فیلتر کردن نتایج جستجو، ذخیره میشوند. پس، برای مثال، نوع محصول دارویی که فرد به دنبال آن است، از داروهای ضد بارداری گرفته تا قرصهای کلسترول، ثبت میشود.
اجازه دسترسی به این حجم زیاد از اطلاعات شخصی در Android محدود به Google، سازندگان دستگاهها و برنامههای از پیش نصبشدهای است که این سازندگان انتخاب کردهاند. در این میان، شرکتهایی هستند که با تبلیغات سروکار دارند. محاسبه گنجینهای از اطلاعات که آنها در دل دستگاههای تلفن همراه اندروید به آن دسترسی دارند دشوار است. همه برنامهها در دسترس آنهاست و ممکن است هر دادهای، از موقعیت مکانی ما گرفته تا علایق یا روابط عاشقانه ما در دسترس آنها باشد.
اندروید بر اساس یک پروژه منبع باز توسط گوگل نگهداری میشود. اما این یک اکوسیستم بسته مانند اکوسیستم آیفون اپل نیست. نارسئو والینا رودریگز، محقق این حیطه میگوید: «هر سازنده تلفن میتواند تغییراتی را در سیستم عامل و برنامههای سازمانهای دیگر که با آنها قرارداد تجاری دارد، از جمله برنامههای شرکتهایی که بخشی از صنعت تجاریسازی دادههای شخصی و تبلیغات هستند، اعمال کند. مشکل بزرگ این است که برنامههای از پیش نصبشده بخشی از سیستم عامل هستند و میتوانند به دادهها و منابع حساسی که یک برنامه معمولی نمیتواند به آنها دسترسی پیدا کند، دسترسی داشته باشند. این مورد به گزارشهای سیستم از نسخه اندروید ۴.۱ مربوط میشود.»
جنگلی از سختافزار و نرمافزار
حرف از یک تعادل پیچیده در یک چشمانداز آشفته است. دستگاههای اندرویدی در محیطی شبیه جنگل زندگی میکنند، جایی که دهها شرکت در تلاش هستند تا دادهها را استخراج کنند و از آنها سود ببرند، بدون اینکه کسی بویی ببرد.
خوان تاپیادور میگوید: «حل کردن خطرات امنیتی و حریم شخصی ناشی از زنجیره تامین، پیچیده است. بسیاری از طرفها در ساخت یک محصول و نرمافزارهای همراه آن، درگیر هستند. گاهی اوقات بین آنها روابط پیچیدهای حکمفرماست که به واسطهی آن خطراتی که یک نهاد را تهدید میکند به راحتی برای نهادهای دیگر هم وجود دارد.»
یک سخنگوی زن Google به سؤالات EL PAÍS این پاسخ را داد که آنها در تلاشند همه کارها را همزمان انجام دهند: از کاربر محافظت کنند و همچنین به توسعه دهندگان برنامه امکانات بیشتری بدهند. امنیت و حریم شخصی کاربر اولویت اصلی اندروید است. ما واقعاً قدردان تحقیقی هستیم که به ایمن نگه داشتن اندروید کمک میکند. ما دائماً ویژگیهای اندروید را ارتقا میدهیم تا اطمینان حاصل کنیم دادههای کاربر ایمن و خصوصی باقی میماند و در عین حال به توسعهدهندگان توانایی ایجاد بهترین برنامههای ممکن را میدهیم. »
گوگل اعلام کرد همه برنامههایی که به سوابق دستگاه دسترسی دارند، برنامههایی هستند که دسترسی سازندگان دستگاه به آنها مجاز است، در نتیجه زمینه نفوذ بالقوه دیگران نیز فراهم میشود.
سرژ اگلمن، محقق دانشگاه کالیفرنیا در برکلی و یکی از بنیانگذاران AppCensus میگوید: «من واقعاً از میزان اطلاعات حساس ثبت شده توسط سازندگان دستگاههای سخت افزاری حیرتزده شدم. اگر این دستگاهها توسط Google بهعنوان دستگاههای رسمی اندروید تأیید شدهاند، واقعاً باید نظارتی وجود داشته باشد که اطمینان حاصل شود آنها از خطمشیهای Google پیروی میکنند.»
اما هیچ کس نظارت یا تضمین نمیکند که این اطلاعات برای افرادی که به طور بالقوه میتوانند از آنها سوء استفاده کنند در دسترس نباشد. بارت پرنیل، استاد دانشگاه کاتولیک لوون و مدیر فنی برنامه ردیابی دیجیتال بلژیکی Coronalert، این مشکل را در سه نکته شرح داده است:
«یک اینکه ثبت بسیاری از اطلاعات را برای توسعهدهندگان آسانتر میکند و بیشتر آنها حاوی دادههای حساس هستند، به ویژه اگر گزارشات مربوط به چندین برنامه با هم ترکیب شوند. دو اینکه این اطلاعات برای گوگل و سازندگان مفید است. اما بسیاری از برنامههای کاربردی دیگر هم اجازه دسترسی دارند، بنابراین خطر سوء استفاده بسیار زیاد است: امکان ایجاد پروفایلهای کاربر توسط تعداد زیادی از طرفین وجود دارد. سوم اینکه، گوگل به توسعهدهندگان هشدار میدهد بیش از حد وارد سیستم نشوند، اما توسعهدهندگان به هر حال این کار را انجام میدهند و نظارتی روی آنها انجام نمیشود.
راه حل ناکافی از طرف گوگل
در این حالت، اطلاعاتی که در گزارشها نشان داده میشوند، در واقع نباید در دسترس باشند. سالها توصیه اندروید این بوده است که از وارد کردن فعالیتهای خصوصی در این گزارشها خودداری کنید. اما این هشدار کنترل یا نظارت نشده است و این مشکل مستقیم توسعهدهندگان و سازندگان برنامه نیست. این مثال واضحی است از بدترین عواقبی که کاربر متحمل میشود، کسی که روحش از ماجرا بیخبر است چون وقتی دستگاه تلفن همراهتان را میخرید، این نرمافزار از قبل در آن هست.
گوگل پس از مطلع شدن از این تحقیقات، به کاربران نسخه ۱۳ اندروید هشدار داد: «مکانیسمهایی که گوگل در اندروید ۱۳ برای بهبود شفافیت و اطلاعرسانی به کاربران در مورد دسترسی به گزارشات برنامههای از پیش نصبشده معرفی کرده، گام خوبی است. آنها به کاربران اجازه میدهند زمان دسترسی و فردی که مجاز به دسترسی به اطلاعات آنهاست را کنترل کنند. با این حال، بهبود سیستم مجوز فقط این مشکل خاص را کاهش میدهد و نمیتواند مشکلات کلی مرتبط با عدمکنترل زنجیره تامین محصولات دیجیتال را برطرف کند. «این رویکرد مشکلی را برطرف نمیکند چون اکثر کاربران زمان یا تمایلی برای کنترل این نوع تنظیمات ندارند.»
بدیهی است گوگل مسئولیت کامل را بر عهده نمیگیرد. توسعهدهندگان برنامه باید بیشتر مراقب اطلاعاتی باشند که در گزارشات رویت میشود و فراموش نکنند که آنها تنها کسانی نیستند که به این اطلاعات دسترسی دارند: جوئل ریردون، محقق این حیطه میگوید: «سازندگان برنامهها میوانند دادههای کمتری ثبت کنند. بسیاری از برنامهها از سرویسهایی مانند Crashlytics برای جمعآوری گزارشات خطا استفاده میکنند که به آنها اجازه میدهد با برنامهای که قبلاً نصب شده اشکالزدایی کنند. در گذشته به کاربران این گونه نرمافزارها آزمایشکننده بتا میگفتند و مشارکت داوطلبانه بود. اگر سازندگان برنامه قصد نگاه کردن به گزارشات را ندارند، پس دلیلی هم برای ثبت این حجم از اطلاعات نیست.»
مترجم: زهرا ذوالقدر