اپ‌های اطلاعاتی دقیقاً چه چیزی را جمع‌آوری می‌کنند؟

۱۳۹۸/۸/۱۱امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بسیاری از اپ‌ها اطلاعات مربوط به کاربر را جمع‌آوری می‌کنند. برخی‌اوقات این اپ‌ها برای کار کردن به شدت به چنین اطلاعاتی نیازمندند؛ برای مثال، یک اپِ نویگیشن به اطلاعات موقعیت‌یابی شما نیاز دارد تا بتواند مسیر راحت را برای شما میسر سازد. توسعه‌دهندگان اغلب از اطلاعات مربوط به شما برای کسب درآمد یا تبلیغاتِ سرویس خود استفاده می‌کنند- البته از پیش رضایت شما را در این خصوص جلب می‌کنند. به عنوان مثال، شاید آمار ناشناسی را جهت پیدا کردن باتلنک[1]ها در اپ خود جمع‌آوری کنند و در همین راستا متوجه شوند باید چه روش جدیدی را توسعه دهند.

اما برخی از توسعه‌دهندگان ممکن است از اطمینان شما سوءاستفاده کرده و مخفیانه شروع به جمع کردن اطلاعاتی بکنند که به کارکرد اپ‌شان هیچ ارتباطی ندارد. در ادامه اطلاعات شما را به طرف‌های سوم خواهند فروخت. خوشبختانه، شما می‌توانید از چند سرویس برای پرده برداشتن از رمز چنین اپ‌هایی استفاده نمایید.

AppCensus

سرویس AppCensus به شما کمک می‌کند متوجه شوید اپ‌ها کدامیک از اطلاعات شخصی را جمع‌آوری می‌کنند و آن‌ها را کجا می‌فرستند. این به روش تحلیلی پویا بستگی دارد: اپ روی دستگاه موبایل واقعی نصب شده، تمام مجوزهای مورد نیاز را نیز دریافت نموده و به طور فعالانه‌ای در بازه‌ی زمانی مشخصی مورد استفاده قرار می‌گیرد. در همین حین، سرویس حواسش به اپ است تا ببنید کدام اطلاعات را کجا به و به چه کسی می‌فرستد و اینکه آیا این اطلاعات رمزگذاری‌شده است یا خیر. این کار می‌تواند دید واقعی‌تری را در مورد رفتار بیرونی اپ در اختیار ما قرار دهد. اگر از اینکه AppCensus اطلاعات شما را به نحوی شخم می‌زند احساس خوشایندی ندارید، می‌توانید از این اپ استفاده نکنید و آن را گزینه‌ای دیگر جایگزین کنید؛ جایگزینی که در اطلاعات شما فضولیِ موارد خارج از فعالیت خود را نمی‌کند. اما شاید اطلاعاتی که AppCensus جمع کرده است ناقص باشد؛ هر اپ برای زمان محدودی آزمایش می‌شود و برخی ویژگی‌های اپ ممکن است زمان ببرد تا فعالسازی شوند. افزون بر این، AppCensus تنها اپ‌های اندروید را تحلیل می‌کند- آن از دسته از اپ‌های اندرویدی که رایگان و عمومی هستند.

Exodus Privacy

برخلاف AppCensus، Exodus Privacy خودِ اپ‌ها را مورد بررسی قرار می‌دهد و نه رفتارشان را. این سرویس مجوزهایی را که یک اپ درخواست می‌کند مورد تحلیل قرار می‌دهد و به دنبال ردیاب‌های درون‌سازه‌ای (ماژول‌های طرف‌سومی که برای جمع‌آوری اطلاعاتی در مورد شما و اقداماتتان ساخته شده است) می‌گردد. توسعه‌دهندگان اغلب با تبلیغ کردن شبکه‌ها که (با هدف ارائه‌ی تبلیغات به شدت شخصی‌سازی‌شده) برای یادگیریِ هر چه بیشتر در مورد شما ساخته‌ شده‌اند اپ‌های خود را به ردیاب‌ها مجهز می‌کنند. در حال حاضر، Exodus Privacy بیش از 200 نوع از چنین ردیاب‌هایی را شناسایی می‌کند.

بحث مجوزها شد این را بگوییم که Exodus Privacy این مجوزها را از زاویه دیدِ خطری که می‌تواند شما و اطلاعات‌تان را تهدید کند نگاه و تحلیل می‌کند. اگر اپی که درخواست مجوز می‌کند احتمال دستکاری حریم خصوصی یا ایجاد اختلال در سطح مراقبتیِ دستگاه را داشته باشد، این سرویس مراتب را به کاربر اطلاع می‌دهد. اگر فکر می‌کنید یک اپ به مجوزهای بالقوه خطرناک نیازی ندارد پس بهترین راه این است که نگذارید بدان‌ها دسترسی پیدا کند. شما می‌توانید بعدها حقوق بیشتری برایش قائل شوید (اگر البته نظرتان بر این باشد).

رازهای کوچکِ اپ

هر دو سرویس کاربرد بسیار ساده‌ای دارند. با یک جست‌وجوی ساده‌ی نام این اپ می‌توانید متوجه شوید چه اطلاعاتی را جمع‌آوری می‌کند و این اطلاعات کجا می‌روند. برخلاف AppCensus، Exodus به کاربران اجازه می‌دهد نه تنها اپ‌ها را از فهرست انتخاب کنند که همچنین با استفاده از تب تحلیلیِ New اپ‌ها را برای تحلیل به گوگل‌پلی اضافه کنند.

بعنوان مثال، تیم ما نگاهی داشت به اپ دوربین سلفی با 5 میلیون دانلود از گوگل‌پلی. Exodus Privacy نشان می‌دهد این اپ از چهار ردیاب تبلیغاتی استفاده می‌کند و نه تنها تقاضای دسترسی به دوربین شما را دارد که همچنین می‌خواهد موقعیت دستگاه شما را نیز در اختیار داشته باشد که لزوماً برای کار کردن به چنین مجوزی نیاز ندارد (در تئوری، لوکیشن دستگاه شاید برای مقاصد خوب نیز -مانند افزودن ژئوتگ‌ها به EXIFهای عکس‌هایی که می‌گیرد- بکار رود).

 

 

تحلیل اپی که AppCensus می‌کند بر نگرانی‌ها می‌افزاید: بر اساس این سرویس، دوربین سلفی فقط به لوکیشن تبلت یا گوشی شما دسترسی پیدا نمی‌کند؛ بلکه همچنین این اطلاعات را در کنار IMEI (شناساگر منحصر به فرد شبکه‌ی بی‌سیم دستگاه شما)، آدرس MAC (کد منحصر به فرد دیگری که می‌تواند برای شناسایی دستگاه شما روی اینترنت یا شبکه‌های اینترنتی لوکال مورد استفاده قرار بگیرد) و آی‌دی اندروید (کدی مختص سیستم شما وقتی اولین بار راه‌اندازی‌اش می‌کنید) برای آدرس آی‌پیِ چینی ارسال می‌کند- همه‌ی اینها بدون اینکه رمزگذاری‌اش کنید. مقاصد نیک را فراموش کنید، هیچ دلیلی خوبی برای این کارها وجود ندارد.

 

 

اطلاعاتی که بی‌تردید می‌توانند برای دنبال کردن حرکات گجت شما مورد استفاده قرار گیرند به فردی در چین داده شده و همچنین می‌توانند حین انتقال توسط هر کس دیگری نیز دستکاری شوند. اینکه این اطلاعات به چه کسی فروخته یا تحویل چه فردی داده می‌شوند جای سوال دارد. با این حال، توسعه‌دهندگان در راستای سیاست حریم‌خصوصی‌شان اینطور ادعا می‌کنند که هیچ اطلاعات شخصی‌ای را از کاربر جمع نمی‌کنند و اطلاعات لوکیشن دستگاه را نیز به هیچکس تحویل نمی‌دهند.

آیا در برابر جاسوسی‌ها سطوح مراقبتی‌ای وجود دارد؟

همانطور که مستحضر هستید، اپی محبوب با سیاست حریم خصوصیِ معمول می‌تواند اطلاعات حساس شما را دستکاری کند؛ بنابراین توصیه‌ی ما به شما این است که برخوردتان با اپ‌های موبایل همراه با سطح بالایی از محافظه‌کاری باشد:

  • بدون دلیل آن‌ها را نصب نکنید. آن‌ها می‌توانند جاسوسی‌تان را بکنند؛ حتی اگر هیچگاه از آن‌ها استفاده نکرده یا آن‌ها را باز نکرده باشید. اگر دیگر به اپی که پیشتر نصب شده نیازی ندارید آن را پاک کنید.
  • از AppCensus و Exodus Privacy برای اسکنِ اپ‌های ناآشنا پیش از نصب استفاده کنید. اگر نتایج باب میل‌تان نبود به دنبال اپ دیگری بگردید.
  • لزوماً به اپ‌ها همه‌ی مجوزهایی که از شما درخواست می‌کنند را ندهید. اگر هنوز متوجه نشدید چرا اپ باید به یک مجوز خاص دسترسی داشته باشد، آن مجوز را صادر نکنید. همچنین می‌توانید براحتی اپ‌ها و مجوزها را با استفاده از Kaspersky Security Cloud کنترل کنید.

 

[1] باتلنک در لغت یعنی گلوگاه، زمانی که در سرور چند کار با هم می خواهد انجام شود مانند سیستم هایتان که قفل می شوند. این اتفاق باعث آهسته شدن تمام پروسه های سرور می شود. جایی است که جریان داده ها آهسته می شود یا می ایستد.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.