عکسهایی از گوشیهای هوشمند، حتی زمانی که کاربر نامعقول است، برچسب گذاری شده است. کاربران گوشی های هوشمند می توانند تنظیمات حریم خصوصی خود را تنظیم کنند تا محدود کردن افرادی که می توانند مکان های جغرافیایی خود را مشاهده کنند. (اعتبار عکس: گرافیک ارتش ایالات متحده)

تلفن های همراه ما می توانند ما در مورد خودمان زیاد نشان می دهیم: جایی که ما زندگی میکنیم و کار میکنیم خانواده ما، دوستان و آشنایان؛ چگونه (و حتی چه) ما با آنها ارتباط برقرار می کنیم. و عادات شخصی ما. با تمام اطلاعات ذخیره شده در آنها، تعجب آور نیست که کاربران تلفن همراه اقداماتی را برای حفاظت از حریم خصوصی خود می کنند، مانند با استفاده از PIN ها و یا کد های عبور برای باز کردن تلفن های خود.

تحقیقاتی که ما و همکارانمان انجام می دهیم، شناسایی و کشف یک تهدید مهمی که بیشتر افراد از دست می دهند: بیش از 70 درصد of برنامه های گوشی های هوشمند اطلاعات شخصی خود را به شرکت های ردیابی شخص ثالث گزارش می دهند مانند Google Analytics، API Graph Graphic یا Crashlytics.

وقتی افراد یک برنامه جدید Android یا iOS را نصب می کنند، قبل از دسترسی به اطلاعات شخصی، اجازه کاربر را درخواست می کند. به طور کلی، این مثبت است. و برخی از اطلاعاتی که این برنامه ها جمع آوری می کنند برای اینکه به درستی کار کنند ضروری است: یک برنامه نقشه تقریبا مفید نخواهد بود، اگر بتواند از اطلاعات GPS برای دریافت یک مکان استفاده نکند.

اما هنگامی که یک برنامه دارای مجوز جمع آوری این اطلاعات است، می تواند اطلاعات خود را با هر کسی که توسعه دهنده برنامه می خواهد به اشتراک بگذارد، اجازه می دهد شرکت های شخص ثالث مسیر خود را جایی که شما هستند، سرعت خود را در حال حرکت و آنچه شما انجام می دهید.

کمک و خطر کتابخانه های کد

یک برنامه فقط اطلاعاتی را برای استفاده در تلفن خود جمع نمی کند. برای مثال، برنامه های نقشه برداری، موقعیت مکانی خود را به یک سرور که توسط توسعه دهنده برنامه اجرا می شود، برای محاسبه مسیرها از جایی که شما به مقصد مورد نظر است.

برنامه می تواند داده ها را در جای دیگر نیز ارسال کند. همانطور که با وب سایت ها، بسیاری از برنامه های تلفن همراه با ترکیب کارکردهای مختلف که توسط سایر توسعه دهندگان و شرکت ها تعریف شده است، در آنچه که کتابخانه های شخص ثالث نامیده می شوند نوشته شده اند. این کتابخانه ها به توسعه دهندگان کمک می کنند پیگیری تعامل کاربر, با رسانه های اجتماعی ارتباط برقرار کنید و با نمایش تبلیغات تبلیغات کسب درآمد کنید و سایر ویژگی ها، بدون نیاز به نوشتن آنها از ابتدا.

با این حال، علاوه بر کمک ارزشمند خود، اکثر کتابخانه ها نیز داده های حساس را جمع آوری می کنند و آن را به سرورهای آنلاین خود ارسال می کنند یا به طور کلی به شرکت دیگری می دهند. نویسندگان کتابخانه موفق ممکن است بتوانند پروفایل های دیجیتالی دقیق کاربران را توسعه دهند. به عنوان مثال، یک فرد ممکن است مجوز یک برنامه را برای شناخت موقعیت مکانی خود و یک برنامه دیگر به مخاطبین خود بدهد. اینها ابتدا مجوزهای مجزا هستند، یکی برای هر برنامه. اما اگر هر دو برنامه از همان کتابخانه شخص ثالث استفاده می کردند و اطلاعات مختلفی را به اشتراک می گذاشتند، توسعه دهنده کتابخانه می تواند قطعات را با هم پیوند دهد.

کاربران هرگز نمی دانند، زیرا برنامه ها مورد نیاز نیست که کاربران را از کدام کتابخانه های نرم افزاری استفاده کنند. و تنها تعداد کمی از برنامه ها سیاست های خود را در مورد حریم شخصی کاربران می سازند؛ اگر آنها انجام دهند، معمولا در اسناد قانونی طولانی، فرد معمولی است خواندن نخواهم کرد، خیلی کمتر درک خواهد شد.

در حال توسعه لومن

تحقیق ما به دنبال نشان دادن میزان اطلاعات بالقوه بدون اطلاع کاربران است و همچنین به کاربران امکان کنترل بیشتری بر داده هایشان می دهد. برای گرفتن تصویری از آنچه داده ها جمع آوری شده و از گوشی های هوشمند منتقل می شوند، ما یک برنامه Android رایگان از خودمان توسعه دادیم مانیتور مانیتور لومن. این برنامه های ترافیکی را تجزیه و تحلیل می کند تا گزارش هایی را که برنامه ها و سرویس های آنلاین به طور فعال اطلاعات شخصی را برداشت می کنند.

از آنجا که Lumen در مورد شفافیت است، یک کاربر تلفن می تواند برنامه های نصب شده اطلاعات را در زمان واقعی ببیند و با آنها این داده ها را به اشتراک می گذارد. ما سعی میکنیم جزئیات رفتارهای پنهان برنامهها را در یک روش آسان برای فهمیدن نشان دهیم. این نیز در مورد تحقیقات است، بنابراین ما از کاربران می خواهیم که اگر به ما اجازه داده شود اطلاعاتی درباره آنچه Lumen مشاهده می کند برنامه های خود را انجام دهد - اما این شامل اطلاعات شخصی یا حریم خصوصی حساس نیست. این دسترسی منحصر به فرد به داده ها، ما را قادر می سازد تا نحوه ی انجام برنامه های تلفن همراه اطلاعات شخصی کاربران را جمع آوری کرده و با آنها داده ها را در مقیاس بی سابقه به اشتراک بگذاریم.

به طور خاص، Lumen پیگیری می کند که برنامه ها بر روی دستگاه های کاربران اجرا می شوند، چه اینکه آنها اطلاعات حساس به حریم خصوصیتان را از تلفن خارج می کنند، چه وب سایت هایی که داده ها را ارسال می کنند، پروتکل شبکه ای که آنها استفاده می کنند و چه نوع اطلاعات شخصی هر برنامه به هر سایت می فرستد لومن تجزیه و تحلیل ترافیک برنامه های محلی بر روی دستگاه و شناسایی این داده ها قبل از فرستادن آنها به ما برای مطالعه: اگر نقشه های Google ثبت یک محل GPS کاربر و ارسال آن آدرس خاص به maps.google.com، Lumen به ما می گوید، "نقشه های گوگل موقعیت مکانی GPS و ارسال آن به maps.google.com "- نه جایی که این شخص در واقع است.

ردیاب ها در همه جا هستند

بیش از 1,600 افرادی که از اواخر ماه اکتبر از Lumen استفاده کرده اند، 2015 به ما امکان تجزیه و تحلیل بیش از برنامه های 5,000 را داد. ما سایتهای اینترنتی 598 را کشف کردیم که احتمالا کاربران را برای اهداف تبلیغاتی، از جمله سرویس های رسانه ای اجتماعی مانند فیس بوک، شرکت های اینترنتی بزرگ مانند گوگل و یاهو و شرکت های بازاریابی آنلاین تحت چارچوب ارائه دهندگان خدمات اینترنتی مانند Verizon Wireless بیابند.

ما این را پیدا کردیم بیش از 70 درصد از برنامه های مورد مطالعه ما متصل به حداقل یک ردیاب، و 15 درصد آنها را به پنج یا بیشتر trackers وصل شده است. یکی از هر چهار ردیاب، حداقل یک شناسه دستگاه منحصر به فرد را برداشت، مانند شماره تلفن یا آن شماره IMEI منحصربفرد 15 منحصربفرد دستگاه. شناسه های منحصر به فرد برای خدمات ردیابی آنلاین بسیار مهم هستند زیرا می توانند انواع مختلف اطلاعات شخصی ارائه شده توسط برنامه های مختلف را به یک فرد یا دستگاه متصل کنند. اکثر کاربران، حتی آنهایی که از نظر حریم خصوصی، از این اقدامات مخفی بی اطلاع هستند.

بیش از یک مشکل تلفن همراه

ردیابی کاربران در دستگاه های تلفن همراه آنها بخشی از یک مشکل بزرگ است. بیش از نیمی از tracker های برنامه ما شناسایی شده و همچنین کاربران را از طریق وب سایت ها ردیابی می کنیم. با تشکر از این تکنیک، به نام "cross-device" ردیابی، این سرویس ها می توانند مشخصات کاملتری از شخصیت آنلاین خود را ایجاد کنند.

و سایت های ردیابی فردی لزوما مستقل از دیگران نیستند. بعضی از آنها متعلق به یک شرکت واحد هستند - و دیگران می توانند در ادغام های بعدی فروخته شوند. به عنوان مثال، الفبای، شرکت مادر گوگل، دارای چندین دامنه پیگیری است که ما مورد مطالعه قرار دادیم، از جمله Google Analytics، دابلکلیک یا AdMob، و از طریق آنها اطلاعاتی را از بیش از 48 درصد از برنامههایی که مورد مطالعه ما قرار داد، جمعآوری میکند.

هویت آنلاین کاربران توسط قوانین کشور خود محافظت نمی شود. ما داده ها را در سراسر مرزهای ملی حمل می کردیم، که اغلب در کشورهای دارای قوانین حریم خصوصی مشکوک به پایان رسید. بیش از 60 درصد از اتصالات به سایت های ردیابی در سرورهای ایالات متحده، انگلیس، فرانسه، سنگاپور، چین و کره جنوبی ساخته شده است - شش کشور که مستقر کرده اند فن آوری های نظارت جامع. آژانس های دولتی در این مکان ها می توانند به طور بالقوه دسترسی به این داده ها را داشته باشند، حتی اگر کاربران نیز باشند کشورها با قوانین محرمانگی قوی تر مانند آلمان، سوئیس یا اسپانیا.

اتصال یک آدرس MAC دستگاه به یک آدرس فیزیکی (متعلق به ICSI) با استفاده از Wigle. ICSI, CC BY-ND

حتی بیشتر ناراحت کننده است، ما پیگیری های در برنامه های هدفمند برای کودکان را مشاهده کرده ایم. با آزمایش برنامه های کودکان 111 در آزمایشگاه ما، مشاهده کردیم که 11 آنها یک شناسه ی منحصر به فرد را بیرون کشیدند آدرس MACاز روتر Wi-Fi به آن متصل شده است. این یک مشکل است، زیرا آسان است جستجو آنلاین برای مکان های فیزیکی مرتبط با آدرس های MAC خاص. جمع آوری اطلاعات خصوصی در مورد کودکان، از جمله محل آنها، حساب ها و سایر شناسه های منحصر به فرد، به طور بالقوه کمیسیون تجارت فدرال را نقض می کند قوانین محافظت از حریم خصوصی کودکان.

فقط یک نگاه کوچک

اگر چه اطلاعات ما شامل بسیاری از محبوب ترین برنامه های آندروید است، این نمونه کوچک از کاربران و برنامه ها، و در نتیجه به احتمال زیاد مجموعه ای از تمام ردیاب های ممکن است. یافته های ما فقط می تواند سطح آنچه که احتمالا یک مسئله بسیار بزرگتر است که در سراسر حوزه های قضایی، دستگاه ها و سیستم عامل ها تعریف می شود، خراشیده شود.

دشوار است بدانید چه کاربران ممکن است در مورد این کار کنند. مسدود کردن اطلاعات حساس از خروج از گوشی ممکن است عملکرد برنامه یا تجربه کاربر را مختل کند: برنامه ممکن است از کارکردن در صورت عدم بارگیری آگهی ها اجتناب کند. در واقع، مسدود کردن تبلیغات به توسعه دهندگان برنامه آسیب می رساند و آنها را به دلیل منبع درآمد برای حمایت از کار خود در برنامه ها، که معمولا برای کاربران آزاد است، متهم می کند.

اگر مردم بیشتر مایل به پرداخت برنامهنویسان برای برنامه بودند، این ممکن است کمک کند، اگرچه راه حل کامل نیست. ما متوجه شدیم که در حالی که برنامه های پرداخت شده تمایل به تماس با سایت های ردیابی کمتر دارند، آنها هنوز کاربران را دنبال می کنند و با سرویس های ردیابی شخص ثالث ارتباط برقرار می کنند.

شفافیت، آموزش و چارچوب های قانونی قوی کلید هستند. کاربران باید بدانند چه اطلاعاتی در مورد آنها جمع آوری شده است، چه کسی و چه چیزی برای آن استفاده می شود. فقط پس از آن ما می توانیم به عنوان یک جامعه تصمیم بگیریم که حمایت های حریم خصوصی مناسب هستند و آنها را در محل قرار می دهد. یافته های ما و نیز بسیاری از محققان دیگر می توانند جدول ها را تغییر دهند و خودشان را دنبال کنند.

درباره نویسنده

نرسو والینا-رودریگز، استادیار پژوهشی، موسسه IMDEA Networks، مادرید، اسپانیا؛ دانشمند تحقیقاتی، شبکه و امنیت، موسسه بین المللی علوم کامپیوتری در، دانشگاه کالیفرنیا، برکلی و Srikanth Sundaresan، پژوهشگر علوم کامپیوتر، دانشگاه پرینستون

این مقاله در اصل در تاریخ منتشر شد گفتگو. دفعات بازدید: مقاله.

کتاب های مرتبط:

at InnerSelf Market و آمازون