האפליקציות שמרגלות אחרינו: ממה צריך להיזהר

אפליקציות מובייל כבר מזמן הפכו להיות חלק בלתי נפרד מחיי היומיום שלנו. אנחנו משתמשים בהן כמה וכמה פעמים ביום, בודקים כל כמה דקות אם הגיעה הודעה חדשה ב-WhatsApp, דואר אלקטרוני ל-Gmail או התראת פוש מטעם וואלה. אבל עד כמה שהאפליקציות עוזרות ומסייעות לנו להתנהל או להתעדכן (וגם לבזבז לא מעט זמן על הדרך), מאחורי הקלעים הן שואבות מאיתנו הררי מידע - לרוב בלי שממש נדע על כך.

אמנם הן במכשירי אנדרואיד של גוגל והן במכשירי iOS של אפל המשתמש מקבל התראות על המידע שהאפליקציה שהוא הולך להתקין מתכוונת להשתמש בה, אך רובנו לא באמת נותנים את תשומת ליבנו האמיתית לכך, לא מבינים לעומק על מה מדובר ובעיקר, לא מבינים למה מפתחי האפליקציות צריכים את זה.

חוסר השקיפות הזה הוא בעוכרינו כמשתמשים ומשחק לפתחן של החברות שמפתחות את האפליקציות, כמו גם לצדדים שלישיים, שלעיתים רבות משלבים קוד באפליקציה (SDK) וכך מקבלים גישה לכל אותו מידע שמפתח האפליקציה ביקש. כך, יוצא שעוד ועוד גופים חולקים במידע שלנו ללא היכולת שלנו לדעת או לשלוט על כך.

אז נכון, תמיד אפשר לוותר ולא להתקין אפליקציות ולשמור בצורה הדוקה על הפרטיות שלנו, אך במציאות הסלולרית של היום, קשה להימנע משימוש באפליקציות כמו פייסבוק, וואטסאפ או ג'ימייל.

חברת MyPermissions הישראלית, שנוסדה ב-2012 על-ידי אוליבייה עמר ודוד חבושה, הוקמה בדיוק בשביל המטרה הזו. עם גיוס של 2 מיליון דולר מקרנות בפרופיל גבוה כמו לול ונצ'רס, פלוס ונצ'רס ו-500 Startups, היא עוזרת למשתמשיה לאתר אילו אפליקציות שואבות מהן מידע ואיזה מידע בדיוק. היא מאפשרת לנטר לא רק את האפליקציות שמותקנות על הטלפון, אלא גם את אלה שהתחברתן אליהן באמצעות חיבור לחשבון הפייסבוק, הגוגל או הלינקדאין שלכם.

באמצעות מאגר הנתונים של MyPermissions, שמנתח 1.7 מיליון אפליקציות באופן קבוע, החלטנו ב"גלובס" לבדוק מקרוב מה עושות לנו בטלפון כמה מהאפליקציות הפופולריות בישראל, ולדרג אותן על-פי רמת הסיכון שלהן. אף שחלק מההרשאות עשויות להיות הכרחיות לצורך שימוש מלא באפליקציות, התוצאות מדאיגות בעיקר לאור חוסר השקיפות המלא של החברות שעומדות מאחורי האפליקציות שמקבלות גישה ישירה לנתונים רבים כל כך עלינו ולא מסבירות מספיק לעומק בשביל מה הן צריכות את המידע הזה.

אז מה מצאנו כשבדקנו כמה מהאפליקציות הפופולריות בישראל? גבוה גבוה, עם רמת הסיכון הגבוהה ביותר, ניצבת אפליקציית חדשות הספורט one, שמבקשת 28 הרשאות שונות לנתוני המשתמש במכשיר המובייל שלו. בין ההרשאות שאפשר להגדירן כחריגות יחסית לאפליקציית חדשות - גישה לאנשי הקשר, ליומן השיחות ויכולת לקרוא ולכתוב הודעות SMS.

פייסבוק, שקיבלה ציון סיכון של 80 בדירוג, היא אחת האפליקציות הפופולריות שיש אך גם אחת מאלה שדורשות הכי הרבה הרשאות (39). אחת מאלה היא היכולת לדעת אילו עוד אפליקציות רצות על המכשיר. מעבר לפולשנות הבסיסית של הרשאה שכזו, היא יכולה גם להוות פתח להאקרים, שמנסים להשתלט על המכשיר ובאמצעות הרשאה זו לבטל הפעלה של אפליקציות הגנה כמו אנטי וירוס שרצות על המכשיר. הרשאה אחרת היא היכולת לשנות או להסיר אירועים מלוח השנה של המשתמש.

דוד חבושה, סמנכ"ל הטכנולוגיות של MyPermissions, ממליץ במקרה של פייסבוק או One וכן במקרה של אפליקציות אחרות שמבקשות הרשאות רבות מדי - לגלוש לאתר המותאם סלולרית של אותן חברות וכך ליהנות מהשירותים הבסיסיים עם היכולת להימנע משיתוף נתונים פרטיים מדי.באפליקציית הניווט waze יש ציון סיכון של 64, שזה הגיוני יחסית להרשאות השונות שיש לאפליקציה הישראלית, אך בהשוואה לאפליקציית ניווט אחרת - Google Maps, שגם היא מבית גוגל, הציון עומד על 34 בלבד.

בקרב אפליקציות החדשות המובילות, וואלה ו-ynet, אפשר לראות קצת יותר מדי התעמקות בנתוני המשתמש. כך, שתי האפליקציות רוצות לדעת אילו עוד חשבונות יש על המכשיר של המשתמש (פייסבוק, טוויטר, מייל וכו'), לדעת אילו אפליקציות נוספות רצות על המכשיר, מה מיקום המשתמש וכן אפשרות להשתלט על מסך הסלולר של המשתמש. בוואלה ניתן גם למנוע מהטלפון לעבור למצב שינה. "ייתכן שמיקום משתמש היא הגדרה שדרושה לצורך פרסום מבוסס מיקום", אומר חבושה, "אך חשוב שהמשתמש הממוצע יהיה מודע למידע שנאסף עליו".

עוד הרשאות חריגות יחסית אפשר למצוא באפליקציית החנייה הפופולרית פנגו ובאפליקציית סופר פארם, שששתיהן מבקשות לרוץ כל הזמן ברקע גם אחרי שיוצאים מהאפליקציה, בעוד בפנגו מבקשים גם גישה להתקני בלוטות' שקיימים במכשיר. הרשאה חריגה נוספת אפשר למצוא בשתי אפליקציות שימושיות במיוחד של גוגל, ג'ימייל ויו-טיוב, ששתיהן מבקשות גישה להתקני התקשורת NFC שנמצאים במכשיר ומשמשים בדרך כלל לצורך תשלום סלולרי בחנויות פיזיות או יכולת להעביר את תצוגת הסלולר למסך הטלוויזיה. בעוד במקרה של יו-טיוב זה עוד איכשהו הגיוני, במקרה של ג'ימייל זה נשמע מוזר ופולשני מעט.

כך נבדקו האפליקציות

המתודולוגיה מאחורי הבדיקה ודירוג הסיכון מתחיל מהפרמטר הראשון שהוא כמות ההרשאות שהאפליקציה דורשת מהמשתמש באופן כללי וגם באופן יחסי לאפליקציות באותה קטגוריה, כמו למשל אפליקציות חדשות או ספורט. "אם כל אפליקציות הקניות מבקשות גישה לאינטרנט אז זה הגיוני, אבל אם רק אחת מבקשת גישה ל-SMS, אז זה יכול להדליק נורה אדומה", מסביר חבושה, סמנכ"ל הטכנולוגיות של MyPermissions.

פרמטר נוסף הוא אילו כלים של צד שלישי, שמשתמשים בערכת פיתוח תוכנה (SDK), מותקנים באפליקציה. לדברי חבושה, "שימוש ב-SDK מאפשר למידע לזלוג החוצה לא רק למפתח האפליקציה, אלא לכל מי שהוא הכניס פנימה אם זה לצורכי פרסומות או כלי אנליטיקה. ברגע שהם בתוך האפליקציה, אז הם יכולים לקבל את כל ההרשאות שניתנו למפתחי האפליקציה".

פרמטר נוסף הוא שקלול של מידע ממאות אלפי המשתמשים הפעילים מדי חודש באפליקציה של MyPermissions. "האפליקציה נותנת מבט והבנה על אילו אפליקציות יש לך במכשיר ובענן, כולל כל מי שמחובר לחשבונות שלך בפייסבוק, גוגל או טוויטר", אומר חבושה.

חוסר המודעות והידע של המשתמשים בעולם האפליקציות שבו הם משתמשים מדי יום מדאיג. כך, למשל, מעטים יודעים שהחל מעדכון קודם של גוגל למערכת ההפעלה אנדרואיד (גרסתKitKat - 4.4.2), החברה מאפשרת למפתחים להוסיף הרשאות לעדכוני אפליקציות קיימות ללא צורך באישור חדש של המשתמש, כל עוד מדובר על אותה קבוצת הרשאות. "אם נתת לאפליקציה אישור לקרוא הודעות SMS, אז בעדכון הבא של האפליקציה המפתח יכול גם לקבל גישה לכתוב בשמך הודעות SMS מבלי לבקש ממך אישור נוסף, בגלל שההרשאה נמצאת באותה קבוצה".

נקודה נוספת ולא פחות חשובה, מסביר חבושה, היא בהסרת אפליקציות. "אנשים לא מבינים כשאתה מוחק אפליקציה מהמובייל שחיברת אליה את חשבון הפייסבוק שלך, למשל קנדי קראש, החיבור לנתונים עדיין קיים ומפתחי האפליקציה עדיין יכולים לגשת מדי יום לנתונים שלך", הוא אומר. הפתרון לדבריו, הוא כניסה להגדרות בפייסבוק, גוגל או טוויטר וניתוק של האפליקציות לנתונים האישיים. אפשרות אחרת הוא הסרה מלאה של האפליקציות דרך האפליקציה של MyPermissons.

 האפליקציות שעוקבות אחרינו