איך אפליקציות מרגלות אחריך בסתר עם עוקבים של צד שלישי

ברגע שאתה מתקין אפליקציה, היא מתחילה לסרוק ולהציק לך עבור הנתונים שלך. הוא מבקש הרשאות להתחבר לחלק הפנימי של הטלפון שלך, מבקש ממך לרשום קומץ מידע אישי - אתה מכיר את התרגיל.

עם זאת, לא משנה כמה חסכני ועירני אתה בכל שלב, עדיין יש דרך אחת שרוב האפליקציות בסופו של דבר כורות בסתר את הנתונים שלך.

כל אפליקציה מגיעה ארוזה עם מגוון של מה שנקרא טכנית ערכות פיתוח תוכנה (SDK). כדי להבין אותם טוב יותר, חשבו על אפליקציה כבית לגו - כאשר כל בלוק פועל כמודול מפתח יחיד.

מפתחים מתכנתים את הבלוקים הייחודיים לאפליקציות שלהם, כגון העיצוב והפונקציות שלה. אבל רכיבים כמו פרסום וניתוח לא נבנים בדרך כלל בתוך הבית. לשם כך הם פונים לצדדים שלישיים שכבר מציעים את השירותים הללו. כל מה שמפתחים צריכים לעשות הוא לחבר אותם לאפליקציות שלהם.

ערכות SDK תוכננו, כפי שניתן לשער, כדי להאיץ את הפיתוח ולמנוע מאמץ מיותר. אבל לאחרונה, הישויות הקטנות הללו התפתחו כפרצות קריטיות בשאיפה שלנו לפרטיות, מכיוון שחברות ניצלו אותן לרעה כדי לשאוב נתוני משתמשים אישיים גם כשהן לא אמורות לעשות זאת.

פגיעה בפרטיות

א מחקר באוניברסיטת אוקספורד גילה שכמעט שליש מכל האפליקציות בחנות Play היו מקושרות לפחות ל-10 SDK של צד שלישי ואחד ב- חמישה שיתפו נתוני משתמשים עם עד 20 SDK. נתון זה עולה באופן אקספוננציאלי באפליקציות חינמיות בקנה מידה גדול. למשל, לפי MightySignal, חברת מודיעין נייד, טינדר מחוברת ל-51 SDK מדהים, ל-Airbnb יש 41 ול-ESPN יש 40.

רוב ה-SDKs אוספים נתונים שבדרך כלל לא הייתם חושבים שיש להם משמעות כלשהי. הם עוקבים אחר מה שאתה מקיש בתוך אפליקציה, אזורים שבהם אתה מבלה את רוב זמנך, אילו מודעות אתה מקיים אינטראקציה ועוד. אבל תרגול זה לכאורה לא מזיק יכול להזיק באופן קריטי לפרטיות שלך כאשר אתה מסתכל איך כל הנתונים האלה משתלבים בתמונה הרחבה יותר.

מחקר אוקספורד חשף גם כי 88% מהאפליקציות שנחקרו יכולות להעביר נתונים לחברות שנמצאות בסופו של דבר בבעלות אלפבית (האם של גוגל) ו-43% לשירותים בבעלות פייסבוק.

חברות אוהבות פייסבוק וגוגל כבר יודעת קצת עליך, ועל ידי שימוש במאות אלפי אפליקציות באמצעות SDK, הם מסוגלים לכוונן את הפרופיל הדיגיטלי שלך במסד הנתונים שלהם ולשרת אותך ממוקד מודעות. לדוגמה, אם אתה מצפה והתקנת אפליקציה הקשורה להריון, גוגל או פייסבוק יכולות להתחיל להציג לך מודעות למוצרי תינוקות על סמך המידע החדש הזה.

נתונים אישיים נכרים

מפתחים נוטים להצדיק את כל ה-SDKs הללו בטענה שהנתונים נשמרים אנונימיים ומידע אישי כמו מספר הטלפון שלך לעולם אינו משותף.

אבל במציאות, לעסקים גדולים יש את היכולת לקשור אפילו את מעט הנתונים הקטנים ביותר לפרופיל הדיגיטלי שלך. ייתכן שהאפליקציה לא מספרת ל-SDK את שמך או כתובת הדוא"ל שלך, אבל חברות טכנולוגיה יכולות להבין זאת בעצמן על ידי עיבוד צולב שלה עם הידע הקיים שלהן.

אפליקציות לא תמיד משתפות רק נתונים אנונימיים עם SDK. חוקר מעבדת קספרסקי, רומן אונצ'ק נמצא 4 מיליון דְמוּי אָדָם אפליקציות שלחו נתוני פרופיל משתמש לא מוצפנים - כולל שמות, הכנסות, מספרי טלפון, כתובות דוא"ל, ובדוגמה אחת, קואורדינטות GPS - לשרתי המפרסמים.

לפני כמה שבועות, חקירה של Electronic Frontier Foundation (EFF). גילה שארבע חברות ניתוח ושיווק צוברות מידע כמו שמות, כתובות IP פרטיות, ספקי רשת סלולרית, מזהים מתמשכים ונתוני חיישנים מאמזון אפליקציית צלצול.

שניים מה-SDKs EFF שהודגשו - Appsflyer ו-Facebook Graph - ניתן למצוא במספר רב של אפליקציות, ומומחים אומרים שסביר להניח שהם אוספים סט דומה של נתונים גם מאפליקציות אחרות.

בהצהרה, דובר Appsflyer אמר שהחברה אינה מתווך נתונים ו"אינה בונה מיקוד פרופילים, אינה מוכרת נתונים, ואינה משתמשת בכל דרך אחרת בנתונים אישיים של משתמש אפליקציה למטרותיה.

"חברות ניתוח מסוימות נותנות למפתחי האפליקציות שליטה מצוינת על המידע המועבר, אבל נראה שהנחה טובה שאפליקציות אחרות ימסור כמות דומה של נתונים רגישים אם הם כוללים את אותן ספריות", אמר ויליאם בדינגטון, מחבר חקירת ה-EFF, לדיגיטל. טרנדים.

חבורה של SDK שממלאות כיום תפקיד הכרחי בפיתוח אפליקציות לא מציינים בבירור כיצד הם מטפלים בנתוני משתמשים. במקרים מסוימים, מפתחים מתעלמים ומדלגים על בדיקת אופן הפעולה של SDK, ומעמידים את אבטחת המשתמשים בסיכון.

"למרבה הצער, ייתכן שרוב המפתחים לא יודעים... עד כמה SDK נתון יכול להיות פולשני בעת בניית תוכנה משלהם, בעוד שהמשתמשים אינם מודעים לחלוטין לכך העובדה שכאשר מפעילים אפליקציה לנייד, עשויים להיות עשרות ארגונים אחרים שאוספים נתונים רגישים ואישיים", אמר Narseo ולינה-רודריגז, מדענית מחקר בחטיבת הרשתות והאבטחה של המכון הבינלאומי למדעי המחשב וחברה בצוות מפותח לומן, אפליקציה ש צגים לאילו ערכות SDK הטלפון שלך משדר נתונים.

מידע מפתח קבור

צוואר בקבוק נוסף שאיפשר ל-SDK להשתולל הוא שהסכמתם בדרך כלל קבורה עמוק בפנים מדיניות הפרטיות של אפליקציה והרבה פעמים מפתחים לא מצליחים להדגיש במפורש את מה שהמשתמשים נותנים לְמַעלָה. יתר על כן, הגדרות האבטחה של האפליקציה אינן חלות על ערכות SDK של צד שלישי, מה שמשאיר לאנשים מעט או ללא ברירה.

"למען האמת, יש עדויות שמראות שמה שאפליקציות רבות מדווחות על מדיניות הפרטיות שלהן מציעה תמונה לא שלמה של זמן הריצה בפועל ואיסוף הנתונים שלהם", הוסיף Narseo ולינה-רודריגז.

עד אנדרואיד 10, ערכות SDK יכולות אפילו לחלוק הרשאות בין שתי אפליקציות לא קשורות. לכן, נניח שלאפליקציה A יש הרשאת מיקום ול-B אין, ושניהם מצוידים באותו SDK, יש סיכוי הגון ש-B יוכל להזין את הרשאת המיקום של A ולאסוף את נתוני ה-GPS שלך.

בניגוד לדפדפנים, אתה גם לא יכול פשוט לחסום עוקבים של אפליקציות. האפשרות היחידה שלך היא לעבור על ההגדרות של אפליקציה ולהקפיד לבטל את הסימון אסוף נתונים עבור הניתוח קופסה אם יש כזו.

אתה יכול גם להתחיל להשתמש באפליקציות אינטרנט בטלפון שלך דרך הדפדפן שלך, המאפשר לך לחסום עוקבים עם הכלים המובנים של הדפדפן. רוב האפליקציות המובילות כמו אינסטגרם וטינדר מציעות אפליקציות אינטרנט דומות שמתנהגות במידה רבה כאפליקציות סלולריות רגילות. בתהליך, תחסוך גם המון אחסון ו RAM.

הפרטיות שלך חזקה רק כמו החוליה החלשה ביותר בכל שרשרת האפליקציות, ובטלפונים, הקישור הזה הוא SDK. ולמרבה הצער, אינך יכול לעשות דבר בנידון מלבד לעבור לאפליקציות המבטיחות יותר אבטחה לנתונים שלך. יש לקוות שבגירסאות העתידיות של אנדרואיד ו-iOS, גוגל ואפל יציגו הגנות טובות יותר נגד עוקבים של צד שלישי.

המלצות עורכים

• אפליקציית הונאה ערמומית זו מוכיחה שמחשבי מק אינם חסיני כדורים
• לשבב M1 של אפל יש פגם, אבל אתה לא צריך לדאוג
• אפליקציות אלה משתמשות ב-A.I. להפוך את חייך לאוטומטיים ולחסוך לך זמן
• מיקרוסופט משדרגת את אפליקציות האאוטלוק שלה לעבודה משופרת לאחר שעות העבודה
• אפליקציית Office החדשה של מיקרוסופט מרמזת על הפוטנציאל של Surface Duo