دراسة: تطبيقات الهاتف المحمول تعرض البيانات الخاصة أكثر من اللازم
" بدون شهادات " الأن تقدر تقدم لشغل في أبل و جوجل , بس ازاي؟
" بدون شهادات " الأن تقدر تقدم لشغل في أبل و جوجل , بس ازاي؟
تطبيقات الهاتف المحمول تدخل إلى البيانات الخاصة للمستخدمين وترسلها إلى خوادم بعيدة أكثر بكثير مما يبدو ضروريا للغاية ، في حين أن المستخدمين لديهم أدوات غير كافية لرصد أو السيطرة على هذا الوصول ، وفقا لدراسة جديدة من قبل اثنين من الوكالات الحكومية الفرنسية.
قامت اللجنة الوطنية الفرنسية للحوسبة والحرية (CNIL) بدراسة سلوك 189 تطبيقًا على ستة أجهزة iPhones مزودة ببرامج مراقبة وأدوات تحليل تم تطويرها بواسطة المعهد الوطني الفرنسي للأبحاث في علوم الحاسب الآلي والتحكم (INRIA). وكان الهدف من ذلك هو تحسين الفهم العام للطريقة التي تستخدم بها التطبيقات البيانات الخاصة ، وليس توجيه أصابع الاتهام إلى مطورين محددين ، حسبما قالت رئيسة CNIL إيزابيل فالك-بييروتين في مؤتمر صحفي لتقديم الأبحاث.
بدلاً من دراسة التطبيقات في المختبر وقد اتبعت CNIL نهجًا حقيقيًا ، حيث طلبت من ستة متطوعين وضع بطاقات SIM الخاصة بهم في الهواتف واستخدامها كما يفعلون بين منتصف أكتوبر ومنتصف يناير. قام أحد المتطوعين بتنزيل 100 تطبيق تقريبًا ، وأضف أحدها خمسة تطبيقات فقط إلى تلك التطبيقات التي تم تثبيتها بواسطة Apple.
[المزيد من القراءة: أفضل هواتف Android لكل ميزانية.]
دخل واحد من بين كل 12 تطبيقًا إلى دفتر العناوين ، وواحدًا من كل ثلاثة من معلومات الموقع التي تم الوصول إليها. في المتوسط ، تم تتبع موقع المستخدمين 76 مرة في اليوم خلال الدراسة. طلب شخصيات قصص الابطال الخارقين والتطبيقات الخاصة بتطبيق آبل معلومات الموقع في معظم الأحيان - ربما مفهومة نظرا لغرضهم - مع تطبيق AroundMe و Apple's Camera في الخلف.
تم الوصول إلى اسم iPhone بواسطة تطبيق واحد في ستة ، وهو شيء وجد الباحثون أنه لا يمكن تفسيره لأنه يخدم لا يوجد أي غرض تقريباً ، وبعيداً عن كونه معرِّفًا فريدًا ، على الرغم من أنه غالبًا ما يحتوي على اسم المستخدم المُعطى ، إلا أنه يمكن اعتباره معلومات تعريف شخصية.
يبدو أن تطبيق Facebook لم يحاول سوى الوصول إلى مثل هذه المعلومات الخاصة - ولكن بعد ذلك ، قال الباحثون ليس هناك حاجة لذلك ، حيث أن مستخدميها بالفعل يقولون ذلك على أي حال.
الباحثون في وكالتين حكوميتين فرنسيتين ، CNIL و INRIA ، يريدون منح مستخدمي التحكم الإضافي في نظام التشغيل iOS من Apple كيفية وصول التطبيقات إلى معلوماتهم الخاصة ، مما يسمح لهم مراجعة وتغيير هذا الوصول في أي وقت.
كانت البيانات التي تم الوصول إليها إلى حد بعيد في الدراسة هي معرّف جهاز Universal (UDID) الخاص بجهاز iPhone ، وهو رقم تسلسلي نهائي ترتبط tly مع هاتف معين. ما يقرب من نصف التطبيقات الوصول إليها ، وواحد من كل ثلاثة من تلك التي أرسلتها عبر الإنترنت غير مشفرة. التطبيق من صحيفة يومية واحدة الوصول إلى UDID 1،8989 مرات خلال الدراسة ، وإرساله 614 مرات إلى ناشرها.
المتحدث باسم CNIL ستيفان Petiticolas أظهر كيف يمكن للمستخدمين استعادة السيطرة مع أداة إعدادات جديدة للحد من كيفية وصول التطبيقات إلى جميع أنواع خاصة المعلومات ، بقدر ما تسمح أبل للمستخدمين بالتحكم في الوصول إلى معلومات الموقع اليوم. لم يطلع آبل على الأداة بعد ، إلا أن INRIA قد يفكر في مشاركة الرمز إذا كانت الشركة مهتمة ، كما يقول كلود كاستيلوتشيا ، مدير فريق البحث.
مشترون تطبيقات iPhone ليس لديهم أدنى فكرة عن المعلومات أو الوظائف التي ستدخلها تطبيقاتهم.. يعرض متجر Google لمتجر ما هي المعلومات والوظائف التي يمكن للتطبيق الوصول إليها ، ولكن الخيار كله أو لا شيء. أعطت الإصدارات القديمة من نظام BlackBerry OS للمستخدمين مزيدًا من الحرية في اختيار واجهات برمجة التطبيقات (واجهات برمجة التطبيقات) التي سمحت للتطبيق بالوصول إليها ، مع خطر كسر التطبيق ، ولكن في BlackBerry 10 أن التحكم الحبيبي متاح فقط للتطبيقات المحلية: تطبيقات أندرويد الخيار مرة أخرى أخذه أو اتركه.
أبل تتخذ خطوات طفل نحو إعطاء المستخدمين هذا النوع من السيطرة. في نظام iOS 5 يمكنهم منع التطبيقات الفردية من الوصول إلى مواقعهم ، وفي نظام iOS 6 سيكون لديهم خيار آخر حيث تسعى Apple إلى إبعاد المطورين عن استخدام UDID لتحديد المستخدمين والإعلان المستهدف.
بدلاً من ذلك ، تطلب شركة Apple من المطورين استخدام معرّف الإعلانات الذي تم تقديمه في نظام iOS 6. ولا يرتبط هذا بشكل دائم بهاتف أو شخص ، ويمكن للمستخدمين الذين لا يرغبون في تتبعه تغييره متى أرادوا ذلك - طالما أنهم يفكرون ابحث في الإعدادات / عام / حول / الإعلان بدلاً من إعدادات / خصوصية أكثر وضوحًا.
لم يكن هذا الخيار متاحًا للمشاركين في دراسة CNIL-INRIA ، وذلك لأسباب فنية تم إجراؤها باستخدام iOS 5. سوف تستخدم المرحلة التالية من البحث iOS 6 ، الآن بعد أن قامت INRIA بتحديث تطبيق المراقبة الخاص بها لاستخدام الإصدار الجديد.
لمراقبة كيفية وصول التطبيقات إلى المعلومات الخاصة ، اضطر INRIA إلى فك Iphone وتثبيت تطبيق خاص لاعتراض Apple واجهات برمجة التطبيقات التي تطلب التطبيقات من خلالها الوصول إلى المعلومات الخاصة ، قال الباحث في INRIA فنسنت روكا. اختار الباحثون العمل على أجهزة iPhones لأن لديهم بالفعل خبرة في تطوير نظام iOS. إنهم الآن بصدد تطوير تطبيق له قدرات مماثلة لهواتف Android ، والتي يجب عليهم تجذيرها من أجل تثبيته.
رصد تطبيق رصد INRIA كل طلب تم اعتراضه في قاعدة بيانات على الهاتف ، إلى جانب المعلومات الخاصة المطلوبة ، حتى يمكن التعرف عليه في حركة مرور الشبكة الصادرة. يمكن تطبيق iOS 5 مراقبة حركة مرور الشبكة غير المشفرة فقط ، ولكن يمكن الآن لإصدار iOS 6 ربط واجهات برمجة تطبيقات الشبكة قبل تشفير حركة المرور ، كما يقول روكا.
التطبيق أيضًا أعاد توجيه الطلبات التي تم اعتراضها إلى خادم مركزي للدراسة - دون وأكد الباحثون على أن المعلومات الخاصة ذات الصلة ، حتى أن المواد التجريبية تستحق خصوصياتهم.
بدأت كل من INRIA و CNIL في تحليل البيانات التي تم جمعها من أجهزة iPhone الستة: هناك 9 غيغابايت منها ، تغطي 7 ملايين خصوصية الأحداث على مدى فترة الثلاثة أشهر.
هناك شيء واحد كشفت عنه الدراسة بالفعل هو أن بعض الوصول إلى البيانات الخاصة هو عرضي. فالتطبيق لتحديد أقرب مسبح في باريس (المدينة 38 في دائرة نصف قطرها حوالي 5 كيلومترات) الوصول إلى معلومات الموقع أكثر بكثير من اللازم لأداء وظيفته ، على ما يبدو بسبب خطأ في البرمجة ، قال بيتي كولاس من CNIL.
"إذا قلت لك أن الشركة تقوم بشحن منتج إلى مئات الملايين من المستخدمين في الوقت الحالي ، والمضمنة في المنتج هي عدة أزرار بارزة من شأنها أن تكسر المنتج تمامًا إذا قمت بالنقر فوقها ، وربما تحميلك من الإنترنت - هل يمكنك تخمين أي منتج هو؟ الذي يعمل على إستراتيجية تصميم المنتجات في موزيلا ، في مشاركة مدونة يوم الإثنين.
