برنامه‌های اندرویدی چگونه اسرار ما را لو می دهند؟

فرادید نوشت؛ بر اساس پژوهشی جدید مشخص شد شرکت‌های تبلیغاتی چگونه به سوابق ثبت‌شده از سوی برنامه‌نویسان در دستگاه‌های تلفن همراه دسترسی دارند.

ردیابی دیجیتال یکی از موفقیت‌های بی‌دوام دوران همه‌گیری کووید بود. در اسپانیا، اپلیکیشنی به نام Radar Covid که به کاربران کمک می‌کرد بدانند نزدیک یک فرد آلوده بوده‌اند یا خیر، به سرعت شکست خورد.

این ایده هیچ‌وقت کارساز نبود، اما عامل شکست آن، این بود که به رغم تمام وعده‌های اولیه برای حفظ امنیت و حریم شخصی کاربران، یک خطای Google باعث شد داده‌ها از دستگاه‌های تلفن همراه اندروید کاربران از طریق یک مکان نامشخص فاش شوند: گزارش‌های برنامه (app’s logs).

حالا تحقیقات جدید نشان داده است که اطلاعات شخصی کاربران اندروید همچنان از این طریق فاش می‌شود و بیشتر از آن چه که باید در دسترس شرکت‌ها قرار می‌گیرد.

کارملا ترونکوسو، محقق دانشگاه پلی‌تکنیک فدرال لوزان (EPFL) یک دانشگاه تحقیقاتی دولتی در سوئیس، می‌گوید: «این تحقیق روزنه‌ی مهمی را آشکار می‌کند که به خوبی تنظیم یا مطالعه نشده است.» ترونکوسو که رهبری یک گروه اروپاییِ مسئول ایجاد برنامه‌های ردیابی کووید در سال ۲۰۲۰ را بر عهده داشت، در مورد ضعف‌های این فناوری هشدار داده و گفته است: «این یک مشکل کلی است؛ در ردیابی برنامه‌ها و همه چیز! نکته اصلی این است که شما نمی‌توانید کاری خصوصی را با طراحی

روی پلتفرمی مانند Android انجام دهید که طبق تعریف دارای نقص است.»

گزارش‌ها مانند یک دفتر خاطرات طولانی و جامع هستند که همه چیزهایی را که در یک برنامه اتفاق می‌افتد ثبت می‌کند. کاربرد اصلی و پذیرفته‌شده آن، شناسایی اشکالات (خطاهای موجود در کد) قبل از انتشار برنامه‌ها برای عموم است. اما در واقعیت، این تنها چیزی نیست که اتفاق می‌افتد. گوگل از توسعه‌دهندگان برنامه می‌خواهد گزارش‌ها را پس از انتشار برنامه‌ها حذف کنند، چون ممکن است حاوی اطلاعات شخصی باشند. اما تحقیقات اخیر نشان می‌داده است که این گزارش‌ها هنوز وجود دارند و همه سوابق در آن‌ها یافت می‌شود.

خوان تاپیادور، استاد دانشگاه کارلوس سوم در مادرید و یکی از همکارانش می‌گوید: «ما متوجه شدیم گزارش‌ها حاوی اطلاعات صرفاً فنی نیست، اما به دلیل بی‌احتیاطی یا به عمد ممکن است حاوی داده‌های شخصی یا اطلاعاتی باشند که فعالیت کاربر را فاش می‌کند. نویسنده تحقیق یک مثال در مورد Microsoft Teams یا Discord یا برنامه‌های دارویی CVS و Drug Mart ارائه می‌کند که با اطلاعات زیادی سروکار دارند. در مورد Teams می‌توان لحظه دقیق تماس کاربر را دانست. در مورد CVS و Drug Mart دسته‌های محصول مورد استفاده برای فیلتر کردن نتایج جستجو، ذخیره می‌شوند. پس، برای مثال، نوع محصول دارویی که فرد به دنبال آن است، از داروهای ضد بارداری گرفته تا قرص‌های کلسترول، ثبت می‌شود.

اجازه دسترسی به این حجم زیاد از اطلاعات شخصی در Android محدود به Google، سازندگان دستگاه‌ها و برنامه‌های از پیش نصب‌شده‌ای است که این سازندگان انتخاب کرده‌اند. در این میان، شرکت‌هایی هستند که با تبلیغات سروکار دارند. محاسبه گنجینه‌ای از اطلاعات که آن‌ها در دل دستگاه‌های تلفن همراه اندروید به آن دسترسی دارند دشوار است. همه برنامه‌ها در دسترس آن‌هاست و ممکن است هر داده‌ای، از موقعیت مکانی ما گرفته تا علایق یا روابط عاشقانه ما در دسترس آن‌ها باشد.

اندروید بر اساس یک پروژه منبع باز توسط گوگل نگهداری می‌شود. اما این یک اکوسیستم بسته مانند اکوسیستم آیفون اپل نیست. نارسئو والینا رودریگز، محقق این حیطه می‌گوید: «هر سازنده تلفن می‌تواند تغییراتی را در سیستم عامل و برنامه‌های سازمان‌های دیگر که با آن‌ها قرارداد تجاری دارد، از جمله برنامه‌های شرکت‌هایی که بخشی از صنعت تجاری‌سازی داده‌های شخصی و تبلیغات هستند، اعمال کند. مشکل بزرگ این است که برنامه‌های از پیش نصب‌شده بخشی از سیستم عامل هستند و می‌توانند به داده‌ها و منابع حساسی که یک برنامه معمولی نمی‌تواند به آن‌ها دسترسی پیدا کند، دسترسی داشته باشند. این مورد به گزارش‌های سیستم از نسخه اندروید ۴.۱ مربوط می‌شود.»

جنگلی از سخت‌افزار و نرم‌افزار

حرف از یک تعادل پیچیده در یک چشم‌انداز آشفته است. دستگاه‌های اندرویدی در محیطی شبیه جنگل زندگی می‌کنند، جایی که ده‌ها شرکت در تلاش هستند تا داده‌ها را استخراج کنند و از آن‌ها سود ببرند، بدون اینکه کسی بویی ببرد.

خوان تاپیادور می‌گوید: «حل کردن خطرات امنیتی و حریم شخصی ناشی از زنجیره تامین، پیچیده است. بسیاری از طرف‌ها در ساخت یک محصول و نرم‌افزارهای همراه آن، درگیر هستند. گاهی اوقات بین آن‌ها روابط پیچیده‌ای حکمفرماست که به واسطه‌ی آن خطراتی که یک نهاد را تهدید می‌کند به راحتی برای نهادهای دیگر هم وجود دارد.»

یک سخنگوی زن Google به سؤالات EL PAÍS این پاسخ را داد که آن‌ها در تلاشند همه کارها را همزمان انجام دهند: از کاربر محافظت کنند و همچنین به توسعه دهندگان برنامه امکانات بیشتری بدهند. امنیت و حریم شخصی کاربر اولویت اصلی اندروید است. ما واقعاً قدردان تحقیقی هستیم که به ایمن نگه داشتن اندروید کمک می‌کند. ما دائماً ویژگی‌های اندروید را ارتقا میدهیم تا اطمینان حاصل کنیم داده‌های کاربر ایمن و خصوصی باقی میماند و در عین حال به توسعه‌دهندگان توانایی ایجاد بهترین برنامه‌های ممکن را می‌دهیم. »

گوگل اعلام کرد همه برنامه‌هایی که به سوابق دستگاه دسترسی دارند، برنامه‌هایی هستند که دسترسی سازندگان دستگاه به آن‌ها مجاز است، در نتیجه زمینه نفوذ بالقوه دیگران نیز فراهم می‌شود.

سرژ اگلمن، محقق دانشگاه کالیفرنیا در برکلی و یکی از بنیانگذاران AppCensus می‌گوید: «من واقعاً از میزان اطلاعات حساس ثبت شده توسط سازندگان دستگاه‌های سخت افزاری حیرت‌زده شدم. اگر این دستگاه‌ها توسط Google به‌عنوان دستگاه‌های رسمی اندروید تأیید شده‌اند، واقعاً باید نظارتی وجود داشته باشد که اطمینان حاصل شود آن‌ها از خط‌مشی‌های Google پیروی می‌کنند.»

اما هیچ کس نظارت یا تضمین نمیکند که این اطلاعات برای افرادی که به طور بالقوه می‌توانند از آن‌ها سوء استفاده کنند در دسترس نباشد. بارت پرنیل، استاد دانشگاه کاتولیک لوون و مدیر فنی برنامه ردیابی دیجیتال بلژیکی Coronalert، این مشکل را در سه نکته شرح داده است:

«یک اینکه ثبت بسیاری از اطلاعات را برای توسعه‌دهندگان آسان‌تر می‌کند و بیشتر آن‌ها حاوی داده‌های حساس هستند، به ویژه اگر گزارشات مربوط به چندین برنامه با هم ترکیب شوند. دو اینکه این اطلاعات برای گوگل و سازندگان مفید است. اما بسیاری از برنامه‌های کاربردی دیگر هم اجازه دسترسی دارند، بنابراین خطر سوء استفاده بسیار زیاد است: امکان ایجاد پروفایل‌های کاربر توسط تعداد زیادی از طرفین وجود دارد. سوم اینکه، گوگل به توسعه‌دهندگان هشدار می‌دهد بیش از حد وارد سیستم نشوند، اما توسعه‌دهندگان به هر حال این کار را انجام می‌دهند و نظارتی روی آن‌ها انجام نمی‌شود.

راه حل ناکافی از طرف گوگل

در این حالت، اطلاعاتی که در گزارش‌ها نشان داده می‌شوند، در واقع نباید در دسترس باشند. سال‌ها توصیه اندروید این بوده است که از وارد کردن فعالیت‌های خصوصی در این گزارش‌ها خودداری کنید. اما این هشدار کنترل یا نظارت نشده است و این مشکل مستقیم توسعه‌دهندگان و سازندگان برنامه نیست. این مثال واضحی است از بدترین عواقبی که کاربر متحمل می‌شود، کسی که روحش از ماجرا بی‌خبر است چون وقتی دستگاه تلفن همراهتان را می‌خرید، این نرم‌افزار از قبل در آن هست.

گوگل پس از مطلع شدن از این تحقیقات، به کاربران نسخه ۱۳ اندروید هشدار داد: «مکانیسم‌هایی که گوگل در اندروید ۱۳ برای بهبود شفافیت و اطلاع‌رسانی به کاربران در مورد دسترسی به گزارشات برنامه‌های از پیش نصب‌شده معرفی کرده، گام خوبی است. آن‌ها به کاربران اجازه می‌دهند زمان دسترسی و فردی که مجاز به دسترسی به اطلاعات آن‌هاست را کنترل کنند. با این حال، بهبود سیستم مجوز فقط این مشکل خاص را کاهش میدهد و نمیتواند مشکلات کلی مرتبط با عدمکنترل زنجیره تامین محصولات دیجیتال را برطرف کند. «این رویکرد مشکلی را برطرف نمی‌کند چون اکثر کاربران زمان یا تمایلی برای کنترل این نوع تنظیمات ندارند.»

بدیهی است گوگل مسئولیت کامل را بر عهده نمی‌گیرد. توسعه‌دهندگان برنامه باید بیشتر مراقب اطلاعاتی باشند که در گزارشات رویت می‌شود و فراموش نکنند که آن‌ها تنها کسانی نیستند که به این اطلاعات دسترسی دارند: جوئل ریردون، محقق این حیطه می‌گوید: «سازندگان برنامه‌ها می‌وانند داده‌های کمتری ثبت کنند. بسیاری از برنامه‌ها از سرویس‌هایی مانند Crashlytics برای جمع‌آوری گزارشات خطا استفاده می‌کنند که به آن‌ها اجازه می‌دهد با برنامه‌ای که قبلاً نصب شده اشکال‌زدایی کنند. در گذشته به کاربران این گونه نرم‌افزارها آزمایش‌کننده بتا می‌گفتند و مشارکت داوطلبانه بود. اگر سازندگان برنامه قصد نگاه کردن به گزارشات را ندارند، پس دلیلی هم برای ثبت این حجم از اطلاعات نیست.»