أمن المعلومات

هواتف أندرويد تستمر بتعقبك حتى لو رفضت ذلك

إذا كنت تستخدم هاتف أندرويد وكنت قلقًا بشأن الخصوصية الرقمية، فمن المحتمل أنك قد اهتممت بالأساسيات بالفعل. لقد حذفت أكثر التطبيقات تطفلًا، ألغيت التتبع كلما أمكن ذلك، واتخذت جميع الاحتياطات الأخرى التي أخبرك بها دليل الخصوصية الإرشادي. الخبر السيئ، هو أن كل هذه الخطوات لا تكفي لتبقي نفسك بمأمن عن التتبع.

أو على الأقل، هذا هو مضمون الورقة بحثية جديدة من الباحثين في جامعة ترينتي Trinity College في دبلن، أيرلندا، الذين ألقوا نظرة على عادات مشاركة البيانات للعديد من مُصنعي هواتف الأندرويد، بما في ذلك تلك التي سامسونج، شاومي، وهواوي.

وفقًا للباحثين، فإن عند ترك الهاتف دون فعل شيء، مع قليل من الإعدادات الخارجة عن المألوف، فإنها ستستمر في إرسال بيانات الجهاز إلى مطوري نظام التشغيل وعدد كبير من الأطراف الثالثة المختارة. والأسوأ من ذلك، أنه لا توجد غالبًا طريقة لإلغاء الاشتراك في عملية إرسال البيانات هذه، حتى لو أراد المستخدمون ذلك.

الكثير من اللوم هنا، كما يشير الباحثون، يقع على ما يسمى “تطبيقات النظام System Apps”. هذه هي التطبيقات التي يتم تثبيتها مسبقًا بواسطة الشركة المصنعة على جهاز معين لتقديم نوع معين من الوظائف: مثل تطبيق الكاميرا أو الرسائل.

يقوم نظام أندرويد عمومًا بتجميع هذه التطبيقات فيما يُعرف بـ “الذاكرة المخصصة للقراءة ROM” للجهاز، مما يعني أنه لا يمكنك حذف هذه التطبيقات أو تعديلها بدون عمل روت لجهازك. وحتى بعد قيامك بذلك، وجد الباحثون أنهم كانوا يرسلون بيانات الجهاز باستمرار إلى الشركة الأم ولأكثر من بضع جهات خارجية، حتى لو لم تفتح التطبيق مطلقًا.

إليك مثال: لنفترض أنك تمتلك جهاز سامسونج مزودًا بحزمة برامج مايكروسوفت بشكل مسبق، بما في ذلك LinkedIn. على الرغم من وجود احتمال أنك لن تفتح LinkedIn مطلقًا لأي سبب من الأسباب، فإن هذا التطبيق ذو الترميز الثابت يتواصل باستمرار مع خوادم مايكروسوفت مع تفاصيل حول جهازك.

في هذه الحالة، يُطلق عليها “بيانات القياس عن بُعد telemetry data”، والتي تتضمن تفاصيل مثل المعرف الفريد لجهازك وعدد تطبيقات مايكروسوفت التي قمت بتثبيتها على هاتفك. تتم مشاركة هذه البيانات أيضًا مع أي موفري تحليلات تابعين لجهات خارجية ربما تكون هذه التطبيقات متصلة بها، وعادة ما تكون جوجل هي جهة التحليل نظرًا لأن تحليلات جوجل Google Analytics هو المسيطر على جميع أدوات التحليل الموجودة هناك.

بالنسبة للتطبيقات ذات الترميز الثابت التي قد تفتحها فعليًا من حين لآخر، يتم إرسال المزيد من البيانات مع كل تفاعل. حيث اكتشف الباحثون أن Samsung Pass، على سبيل المثال، يقوم بمشاركة تفاصيل مثل الطوابع الزمنية timestamps التي توضح بالتفصيل متى كنت تستخدم التطبيق، ومدة استخدام Google Analytics. كما هو الحال مع تطبيق Game Launcher من سامسونج، وفي كل مرة تقوم فيها بتشغيل المساعد الافتراضي بيكسبي Bixby.

سامسونج ليست وحدها هنا بالطبع. تم اكتشاف تطبيق المراسلة من جوجل الذي يأتي مثبت مسبقًا على هواتف شاومي المنافسة لشركة سامسونج، وهو يشارك الطوابع الزمنية من كل تفاعل للمستخدم مع Google Analytics، جنبًا إلى جنب مع سجلات كل مرة أرسل فيها المستخدم رسالة نصية.

تم رصد أجهزة هواوي تقوم بنفس ذلك السلوك. وعلى الأجهزة التي تم تثبيت SwiftKey من مايكروسوفت عليها مسبقًا، حيث تتم مشاركة السجلات التي توضح تفاصيل كل مرة تم فيها استخدام لوحة المفاتيح في تطبيق آخر أو في أي مكان آخر على الجهاز مع مايكروسوفت.

بالكاد عرفنا تفاصيل المتعلقة بأي التطبيقات التي تقوم بهذا السلوك وفقًا لما رصدوه الباحثين، ولهذا السبب، يجب عليك التحقق من الورقة البحثية. ولكن بالنسبة للجزء الأكبر، سترى البيانات التي يتم مشاركتها تبدو ومملة: سجلات الأحداث، وتفاصيل حول مكونات هاتفك (مثل الطراز وحجم الشاشة)، إلى جانب بعض المُعرفات، مثل الرقم التسلسلي لمكونات الجهاز والمعرف الإعلاني للهاتف Ad ID.

لا تستطيع أي من نقاط البيانات هذه، بمفردها تمييز جهازك، ولكن إذا تم جمعها معًا، فإنها تشكل “بصمة” فريدة يمكن استخدامها لتتبع جهازك، حتى إذا حاولت إلغاء الاشتراك. يشير الباحثون إلى أنه على الرغم من أن معرّف إعلانات أندرويد يمكن إعادة تعيينه، إلا أن حقيقة أن التطبيقات عادةً ما يتم تجميعها بمعرفات دائمة أكثر تعني أن هذه التطبيقات، وأي جهات خارجية تعمل معها، ستعرف هويتك على أي حال. وجد الباحثون أن هذا هو الحال مع بعض المعرفات الأخرى التي يمكن إعادة تعيينها والتي تقدمها كل من سامسونج، شاومي، ريلمي، وهواوي.

يُحسب لجوجل أن لديها بعض قواعد المطورين التي تهدف إلى إعاقة التطبيقات الطفيلية بشكل خاص. حيث تخبر المطورين أنه لا يمكنهم ربط معرّف الإعلان الفريد للجهاز بشيء أكثر ثباتًا (مثل IMEI لهذا الجهاز، على سبيل المثال) لأي نوع من الأغراض المتعلقة بالإعلان. وبينما يُسمح لموفري التحليلات بإجراء هذا الربط، لا يمكنهم القيام بذلك إلا “بموافقة صريحة” من المستخدم.

توضح جوجل في صفحة منفصلة توضح بالتفصيل سياسات التطوير هذه: “في حالة إعادة التعيين، يجب عدم ربط معرّف إعلان جديد بمعرف إعلان سابق أو بيانات مستمدة من معرّف إعلان سابق دون الحصول على موافقة صريحة من المستخدم”. يجب عليك “المطور” الالتزام بإعداد المستخدم لإلغاء الاشتراك في الإعلانات القائمة على الاهتمامات “أو” إلغاء الاشتراك في تخصيص الإعلانات. إذا قام أحد المستخدمين بتمكين هذا الإعداد، فلا يجوز لك استخدام معرّف الإعلان لإنشاء ملفات تعريف المستخدمين لأغراض الدعاية أو لاستهداف المستخدمين بالإعلانات المخصصة. ”

جدير بالذكر إن جوجل لا تضع أي قواعد بشأن إذا بمقدور المطورين جمع هذه المعلومات، فقط ما يُسمح لهم بفعله بها بعد جمعها. ونظرًا لأن هذه التطبيقات مثبتة مسبقًا والتي غالبًا لا يمكن حذفها من هاتفك، فقد وجد الباحثون أنه غالبًا ما يُسمح لهم بالتخلي عن إعدادات إلغاء الاشتراك الصريحة لخصوصية المستخدم من خلال تشغيلها في الخلفية، بغض النظر إذا قام المستخدم بتشغيلها أم لا. ومع عدم وجود طريقة سهلة لحذفها، ستستمر بجمع البيانات حتى يصل المستخدم لطريقة لإيقاف ذلك أو التخلص من هاتفه بكل بساطة.

عندما سُئلت جوجل عن عملية جمع البيانات غير القابلة للجلب من قبل الأشخاص في BleepingComputer، أجابت إن هذا ببساطة هو “كيفية عمل الهواتف الذكية الحديثة”:

 كما هو موضح في مقالة مركز المساعدة في خدمات جوجل بلاي Google Play Services، فإن هذه البيانات ضرورية لخدمات الجهاز الأساسية مثل الإشعارات وتحديثات النظام عبر نظام بيئي متنوع للأجهزة وإصدارات البرامج. على سبيل المثال، تستخدم خدمات جوجل بلاي البيانات الموجودة على أجهزة أندرويد المعتمدة لدعم ميزات الجهاز الأساسية. يعد جمع المعلومات الأساسية المحدودة، مثل مُعرف IMEI للجهاز، أمرًا ضروريًا لتقديم التحديثات الهامة بشكل موثوق عبر أجهزة أندرويد والتطبيقات.

هذا الكلام يبدو منطقيًا ومعقولًا، لكن الدراسة نفسها تثبت أنها ليست نهاية القصة. كجزء من الدراسة، نظر الفريق في جهاز بنظام /e/OS، وهو نظام تشغيل مفتوح المصدر يركز على الخصوصية والذي تم تقديمه على أنه نسخة من أندرويد خالية من خدمات جوجل deGoogled.

يستبدل هذا النظام تطبيقات أندرويد المثبتة مسبقًا، بما في ذلك متجر جوجل، بأخرى مجانية ومفتوحة المصدر يمكن للمستخدمين الوصول إليها دون الحاجة إلى حساب جوجل. ولن تلاحظ جوجل ذلك، حيث ترك الباحثون الهاتف المزود بهذا النظام، لم ترسل “أي معلومات” لا لجوجل ولا لجهات الطرف الثالث، ولا حتى لمطوري /e/ أنفسهم.

حسنًا، يمكنك جعل المشرعين يهتمون بهذه القضية، على الأقل بالنسبة للمبتدئين. حيث إن قوانين الخصوصية الموجودة اليوم، مثل اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، وقانون حماية خصوصية المستهلك في الولايات المتحدة، مبنية بشكل حصري تقريبًا لمعالجة الطريقة التي تتعامل بها شركات التكنولوجيا مع أشكال البيانات التي يمكن تحديدها، مثل الاسم والعنوان.

عادةً ما تقع البيانات المسماة “مجهولة الهوية”، مثل مواصفات المكونات الداخلية أو معرّف الإعلان، من خلال الثغرات الموجودة في هذه القوانين، على الرغم من أنه يمكن استخدامها عادةً لتحديد هويتك بغض النظر عن ذلك. وإذا لم يتمكن العامة من المطالبة بإصلاح شامل لقوانين الخصوصية في بلادهم بنجاح، فربما قد تؤدي واحدة من قضايا الاحتكار التي رُفعت على جوجل في النهاية إلى وضع حد لهذه التطبيقات الطُفيلية.

مقالات ذات صلة

اترك تعليقاً

زر الذهاب إلى الأعلى