האם המידע שלנו מוגן יותר בידיים של אפל?

חברת אפל רוצה שהמשתמשים יירשמו לשירותים ברשת באמצעות חשבון של החברה, ומנסה לשכנע אותם שהיא תגן על המידע שלהם טוב יותר מחברות כמו גוגל ופייסבוק • המהלך כולו מציף מחדש את השאלה איך טכנולוגיה שפותחה לטובת המשתמשים הפכה להיות מקור ערך עצום לחברות הענק

מנכ"ל אפל טים קוק/ Shannon Stapleton , צילום: רויטרס
מנכ"ל אפל טים קוק/ Shannon Stapleton , צילום: רויטרס

בתחילת החודש הציגה חברת אפל דרישה חדשה למפתחי האפליקציות: מקמו כפתור חדש של "הירשם באמצעות אפל" באפליקציות שלכם, מעל שאר האפשרויות. המהלך נועד לשנות הרגל של משתמשים מהשנים האחרונות - להירשם לשירותים ואפליקציות שונות באמצעות חשבונות משתמשים קיימים של פייסבוק וגוגל, כמעט כברירת מחדל. את המהלך שיווקה אפל כמסלול עוקף מעקב, דרך להבטחת פרטיות ומענה למשתמשים שצמאים להחליש מעט את אחיזתן היצוקה של חברות פייסבוק וגוגל מכל מה שהוא אינטרנט.

כדי לייצר לעצמה יתרון תחרותי, אפל הוסיפה מתווך של כתובות דואר אלקטרוני, שבעצם ימנע מהמפתחים גישה לכתובת הדואר של המשתמש. הסתרת מידע זה מהמפתחים תקל על התנתקות משירותים ועל חסימת ספאם, ותייצר שכבת הגנה על המשתמשים מפני פריצות. האלטרנטיבה יכולה להיות התחברות באמצעות חשבון קיים, למשל גוגל או פייסבוק, במה שמכונה כניסה יחידה (single sign-on - SSO).

הרעיון של אפל לא פחות מגאוני. SSO וניהול זהויות הם כלים אהובים במיוחד על משתמשים. הם מקצרים תהליכים כמו יצירת חשבון ובניית פרופיל, וחוסכים את הטרחה הכרוכה בדברים כמו חיבור אמצעי תשלום לפלטפורמה חדשה או הצורך לזכור עוד סיסמה. ברמה הטכנית, גם אם חלק מהמשתמשים לא מודעים לכך - הם מעבירים חלק מהאחריות להגן על החשבונות שלהם מפני פריצות אל עבר הענקיות המתוחכמות.

אולם, אפל יודעת שאנחנו יודעים שכל הטוב הזה לא מגיע בחינם. בתמורה לשירותים ללא חיכוכים, הסכמנו (שוב) להעניק למתווכים גישה למידע האישי והפעילות המקוונת שלנו. הם, במקרים רבים, לא נוהגים במידע שלנו ברגישות ומאפשרים לאפליקציות ולעצמם לקבל הרבה יותר הרשאות. גוגל ופייסבוק נתפסו שתיהן בהתנהלות חסרת אחריות, פעם אחת מעניקות גישה מוגזמת למפרסמים, אחר כך לגורמים פוליטיים, ותמיד גם לעצמן. החברות מתחברות ל-GPS, נקודות גישה או רמקולים - ואוספות נתונים על שימושים באפליקציות ובאילו אזורים. אין ספק שתחרות מצד אחת מענקיות הטכנולוגיה, בשם הגברת ההגנה על המשתמשים - היא מבורכת ואף יוצאת דופן. אך אפל נכנסת לתחום לאחר עקומת למידה ורגע מכונן וציבורי של התפכחות.

לאפל תישאר גישה למידע של המשתמשים

זו לא הפעם הראשונה שאפל מציבה את עצמה ב"חזית הלאומית לשחרור המשתמשים". בוויכוח מתוקשר שמנהל מנכ"ל החברה טים קוק עם מייסד ומנכ"ל פייסבוק מארק צוקרברג, הוא הקניט את צוקרברג וטען כי באפל לא סוחרים במידע הפרטי של המשתמשים. "הפרטיות היא זכות אדם, זו חירות אזרחית", אמר קוק בראיון ל-MSNBC. מאוחר יותר, כשנשאל על ידי ה"ניו יורק טיימס" איך היה מתנהל אם אפל הייתה מעורבת בשערורייה כמו זו של קיימברידג' אנליטיקה - הוא פשוט אמר: "לא הייתי מגיע למצב הזה".

צוקרברג בתגובה הורה לכל עובדי החברה להשליך את מכשירי האייפון שלהם ולעבור למכשירים מבוססי מערכת אנדרואיד. בראיון למגזין Recode הגיש את מנת הבוז שלו לקוק, והסביר כי מגוחך מצד אפל לטעון כאילו החברה בצד של הלקוחות: "אם הם היו, הם היו מוכרים את המוצרים שלהם במחירים זולים יותר".

צוקרברג לא לגמרי טועה. בעוד שאין טעם להיכנס לשיקולי התמחור של אפל, ברור כי בשנים האחרונים הם רק עולים ועולים, בעוד שהמוצרים עצמם לא מציגים יכולות משופרות ומרהיבות באותה מידה. עד לא מזמן החברה אף הרהיבה עוז ושברה חסם כמעט על קולי של מחיר, כשתמחרה את מכשיר האייפון X שלה במחיר התחלתי של 1,000 דולר. מאז היא כבר מוכרת מכשירי טלפון במחיר של 1,449 דולר, ובכנס המפתחים האחרון היא השיקה את הלפטופ מק פרו - שמחירו מתחיל ב-6,000 דולרים. כלומר, לא לכל כיס.

האם המחירים מוצדקים? קשה לקבוע, אבל קל להרגיש. בעולם שבו כל שנה יוצא לשוק מכשיר טלפון חדש ועלויות התיקון של מכשירים ישנים גבוהות ולא משתלמות, 1,449 וגם 1,000 דולר למכשיר בודד הם מעמסה כבדה. משתמשי אפל הצביעו ברגליים - ומכירות המכשירים ירדו משמעותית בשנתיים האחרונות, אם כי המחיר הגבוה עדיין הותיר על כנה את שורת ההכנסות מהמכירות.

לאור העובדה כי אפל מבינה שהיא מגיעה לקצה יכולות התמחור והשדרוגים למכשירים, היא התחילה לנקוט צעדים אגרסיביים מרובים בתחום שירותי האינטרנט ולהרחיב את בסיס המשתמשים הקנאי שלה. בין היתר, היא השיקה את הארנק הדיגיטלי Apple Pay, את שירותי הזרמת המוזיקה (סטרימינג) Apple Music ואת שירותי הטלוויזיה והתכנים המקוריים - AppleTv. ברוח הפעילות העסקית האחרונה של החברה, גם את כפתור ה"התחברות באמצעות אפל" היא לא מגבילה למשתמשים שלוקחים חלק במערכת האקולוגית המבוקרת שלה. זאת אומרת שכל משתמש - iOS, אנדרואיד או אחר - יוכל להפעיל את האפליקציות שלו באמצעות מערכת של אפל.

אבל מה כל זה אומר לגבי פרטיות המשתמשים? מי שדואג שמא פייסבוק וגוגל יודעות יותר מדי על הרגלי הצריכה שלו, כמו אילו אפליקציות הוא מוריד ומתי ואיך הוא משתמש בהן, יכול להסיר התלבטות מליבו. הכפתור של אפל לא חוסך מתווך ולא מצפין מידע מהחברה עצמה. יותר מכך, אפל ככל הנראה משתמשת בדיוק באותם הפרוטוקולים של SSO (כמו Oauth 2.0 או OpenID) כמו פייסבוק, גוגל או טוויטר. אמנם לצד השירות החדש של אפל עומדת ההבטחה שהיא לא תמכור את המידע הלאה, אך במציאות שבה הרגולטורים עוד מתווכחים איך לפתור את פלונטר הפרטיות, מדובר רק על העברה של האמון. מהאמונה שגוגל או פייסבוק לא יעבירו את המידע הזה - לאמונה שאפל לא תעביר אותו.

המשתמשים עדיין חשופים לחולשות אבטחה

המהלך של אפל מזמין דיון רחב יותר על ה-SSO, שהוא כלי מבורך. מה שהתחיל כפרוטוקול פתוח שתכליתו הייתה להפחית את החיכוך של המשתמשים עם אפליקציות, הפך בשנים האחרונות לנקודת חולשה גבוהה במיוחד - עבור רובם המוחלט של המשתתפים.

אחת הסיבות לחולשה של ה-SSO היא בכך שהוא טומן בחובו ערך עצום לענקיות, שכן מדובר בפורטל מרהיב של איסוף מידע ומעקב. מי שצריך דוגמה לעד כמה הפורטל הזה חשוב, יכול רק לראות מה עשתה גוגל לכבוד יום הולדת העשירי של הדפדפן שלה, כרום, בספטמבר האחרון. כחלק מהחגיגה, החליטו בגוגל לשנות פיצ'ר קטן, שמשאיר כל מי שמחובר לשירות כלשהו של גוגל (למשל ג'ימייל או ענן) מחובר גם לדפדפן שלה, כרום. כלומר, שימוש בכל אחד ממוצרי החברה כנקודת כניסה ליתר המוצרים של כל המערכת האקולוגית, כך שהיא יכולה "לזלול" נתונים פרטיים ולסנכרן בין השירותים מכל כיוון אפשרי - וללא הסכמה ברורה של המשתמשים.

לא רק שהתנהגות זו בעייתית כלפי המשתמשים, היא גם חושפת אותם ליותר נקודות חולשה. עד כמה? רק לפני פחות משנה נחשפה פריצת ענק בפייסבוק, שהעניקה להאקרים גישה לאסימונים (מעין מפתח דיגיטלי) של 50 מיליון משתמשים. האסימונים העניקו להאקרים גם גישה לאפליקציות צד שלישי שאותם משתמשים הורידו והתחברו אליהן באמצעות SSO.

עד כמה אכפת לענקיות? חוקרים מאוניברסיטת אילינוי מצאו כי אתרים ויישומים רבים עדיין לא תיקנו את נקודת החולשה המדוברת, והם חושפים את המבקרים והמשתמשים שלהם לאותן סכנות פריצה. זה נכון גם לגבי משתמשים שלא השתמשו בחשבון הפייסבוק שלהם כדי להיכנס לאתר צד שלישי. כך הצליחו החוקרים להשיג נתונים על שימוש באפליקציית אובר, הודעות פרטיות בטינדר ומספרי דרכון באקספדיה. אפליקציות נוספות שהעניקו גישה מלאה לחוקרים היו, בין היתר, הוושינגטון פוסט, אסוס, Quora, קייאק, Airbnb ובוקינג.קום. "אמנם ה-SSO מאפשר אינטגרציה חלקה וניווט ללא מאמץ", כותבים החוקרים, "אך הוא גם ביצע אופטימיזציה לנקודת הכישלון היחידה ממנה אדריכלי האינטרנט חתרו להימנע מראשיתו".

כמובן שפייסבוק אינה לבד. משחק המחשב הפופולרי פורטנייט - שלו 200 מיליון משתמשים - נפרץ בינואר השנה באמצעות חולשת SSO על ידי חוקרים מ-MIT. חולשה מסוג SSO הייתה גם הדרך שבה השתמשו האקרים רוסים כדי לשים את ידם על המיילים של המפלגה הדמוקרטית ולהדליפם לוויקיליקס, במה שהתברר בהמשך כליבה של שערוריית ההתערבות הרוסית בבחירות לנשיאות ארה"ב ב-2016.

כשאנחנו משתמשים באופן תדיר בנקודת כניסה יחידה, אנחנו מרחיבים את פרופיל המקורות שיש להם גישה למידע האישי שלנו. מדובר במספר גורמים, שאולי מבקשים לספק מוצר ספציפי - אך בדרך הם משתפים פעולה עם מפתחים וחברות אחרות כדי להגביר את המיומנות או את שורת ההכנסות שלהם.

באישור קצר וחסר חיכוך אנחנו לעתים מחברים - שלא ביודעין - בין שחקנים שיכולים להפיק מידע רב מהאופן שבו אנחנו מפעילים אפליקציות ומשתמשים בשירותים שונים, לבין המשחקים שאנחנו משחקים, המקומות שבהם אנחנו מסתובבים, החיפושים, החברים והמאווים שלנו.

לבחור להעניק תמונה מקיפה יותר של מי אנחנו היא בחירה שיש לקחת אותה בכובד ראש, וזאת משום שההיסטוריה הקצרה והאלימה מלמדת שחברות הטכנולוגיה לא פועלות ומתנהלות ברגישות עם נתונים על משתמשים.