نعم.. آلاف التطبيقات من أندرويد يمكنها تتبعك حتى إذا رفضت منحها الإذن بذلك

عندما تقول صراحة لأحد تطبيقات أندرويد: «لا، لا أمنحك الإذن لتعقب هاتفي»، قد تتوقع أنه لن يكون قادراً على مخالفة ذلك. ولكن يقول باحثون إن آلاف التطبيقات وجدت طرقاً لخداع نظام أذون أندرويد، ومعرفة البيانات التعريفية المميزة لجهازك وما يكفي من البيانات للكشف عن موقعك أيضاً، بحسب ما نشره موقع The Vergeالأمريكي. 

حتى إذا قلت «لا» لأحد التطبيقات عندما يطلب منك الإذن لرؤية القليل من بياناتك المحددة للهوية، قد لا يكون ذلك كافياً؛ حيث يمكن لتطبيق آخر وافقت على منحه الإذن بذلك أن يشارك بعض تلك المعلومات مع تطبيق آخر أو يترك تلك البيانات في مساحة تخزين تشاركية حيث يمكن لتطبيق آخر -قد يكون خبيثاً- من قراءتها. 

قد لا يبدو التطبيقان مترابطين، ولكن يقول الباحثون إنه بسبب أنها تطبيقات مصممة بنفس أدوات التطوير البرمجية فستتمكن من الوصول إلى البيانات، وهناك أدلة على حصول أصحاب أدوات التطوير البرمجية على تلك البيانات. الأمر أشبه برفض الأم شراء الحلوى للطفل، فيطلب الطفل الحلوى من أبيه.

البيانات الوصفية للصور 

وفقاً لدراسة قُدّمت في فعالية PrivacyCon 2019، تحدثنا عن التطبيقات مثل Samsung  و Disney التي تُنزّل مئات الملايين من المرات. وتستخدم أدوات تصميم برمجية من عملاق البحث الصيني Baidu وشركة تحليلات إحصائية تُسمّى Salmonads يمكنها الوصول إلى بياناتك من تطبيق أو آخر (وإلى خوادمهم) من خلال تخزين البيانات محلياً على هاتفك أولاً.

ورأى الباحثون أن بعض التطبيقات التي تستخدم أدوات التطوير البرمجية من Baidu قد تحاول الحصول على تلك البيانات من أجل استخداماتهم الشخصية. 

وإلى جانب عدد من نقاط الضعف الجانبية التي وجدها الفريق، بعض التطبيقات قد ترسل إلى المطوّر عناوين التحكم بالنفاذ للوسط (MAC) المميزة لرقاقة الاتصال الشبكي وجهاز الراوتر، ونقطة الوصول اللاسلكية، واسم معرّف مجموعة الخدمات (SSID)، وغيرها من البيانات.

البيانات الوصفية للصور

قال سيرجي إجلمان، المدير البحثي لمجموعة الأمان والخصوصية القابلة للاستخدام في المعهد الدولي لعلوم الحاسب، في الدراسة التي قدمها بفعالية PrivacyCon: «من المعروف الآن أن هذه البيانات تعد بديلاً جيداً جداً لبيانات الموقع الجغرافي للمستخدم». 

كما ذكرت الدراسة أن تطبيق الصور Shutterfly يرسل إحداثيات تحديد المواقع الفعلية إلى خوادمه دون الحصول على إذن لتتبع المواقع، من خلال جمع البيانات من البيانات الوصفية للصور (EXIF)، إلا أن الشركة أنكرت جمعها تلك البيانات بدون إذنفي تصريح لموقع  CNET.

ووفقاً للباحثين، يقدم إصدار أندرويد كيو بعض الحلول لتلك المشكلات، حيث يقولون إنهم أخطروا جوجل بتلك التهديدات ونقاط الضعف في سبتمبر/أيلول الماضي. (وأشاروا إلى صفحة جوجل الرسمية). حتى الآن، قد لا يساعد ذلك العديد من الأجيال الحالية لهواتف أندرويد التي لا يمكنها الحصول على تحديث أندرويد كيو.

حيث في شهر مايو/أيار، لم يكن أحدث إصدار من نظام التشغيل «أندرويد بي» مُثبتّاً إلا على 10.4% فقط من أجهزة أندرويد، بينما أكثر من 60% من الأجهزة لا تزال تعمل بإصدار «أندرويد نوجا» الذي مر عليه ما يقرب من ثلاث سنوات.

الحماية للهواتف الأحدث فقط 

يعتقد الباحثون أن جوجل عليها فعل المزيد، مثل طرح إصلاحات عاجلة في تحديثات الحماية في الوقت الراهن لأنه من غير العادل أن تتوافر الحماية للهواتف الأحدث فقط. 

يقول إلجمان: «تزعم جوجل علانية أن الخصوصية لا ينبغي أن تكون سلعة فاخرة، ولكن يبدو أن هذا هو ما يحدث تماماً». 

ورفضت جوجل التعليق على تلك التهديدات، لكنها أكدت لموقع The Verge أن إصدار أندرويد يو سيُخفي معلومات الموقع الجغرافي من تطبيقات الصور افتراضياً، وسيُلزم تطبيقات الصور إخطار متجر التطبيقات إن كانت قادرة على الوصول للبيانات الوصفية للموقع الجغرافي.