روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ برخی از اپ‌های اسمارت‌فون‌ به کاربران خود یادآوری می‌کنند که داروهای خود را بخورند؛ برخی اپ‌های دیگر کیفیت خواب کاربران را تحت نظارت قرار می‌دهند؛ یک سری هستند که گام‌های کاربر را شمرده و کالری سوزانده‌شده توسط آن‌ها را محاسبه می‌کنند و غیره. تعداد اپ‌های اسمارت‌فون بخش نظارت سلامتی ابداً کم نیست. این برنامه‌ها اغلب کاربران را مجبور می‌کنند داده‌های بسیار شخصی خود در مورد احساسات، حالات، بیماری‌ها و غیره را به اشتراک بگذارند. افسوس، همه‌ی این اپ‌ها هم با دقت بالا و حساسیتی کم‌نظیر از این داده‌ها حفظ و حراست نمی‌کنند. در سی و ششمین دوره‌ی کنگره‌ی ارتباطات آشوب (36C3) سازمان حقوق بشر به نام Privacy International نتایج تحقیقات روی اپ‌هایی را نشان داد که کمک می‌کنند زنان دوره‌های قاعدگی خود را پیش‌بینی کرده، بهداشت باروری خود را تحت نظارت قرار داده و برنامه‌ریزی بارداری داشته باشند. در این نتایج، نشان داده شد که برخی از این اپ‌ها در واقع داشتند از اعتماد کاربران خود تماماً برای اشتراک‌گذاری اطلاعات محرمانه‌ی آن‌ها با فیسبوک و غیره سوءاستفاده می‌کردند.

فیسبوک دقیقاً در جریان چه چیزهایی قرار گرفته بود؟

محققین در طی جمع‌آوری این گزارش، دو اپ را به طور موشکافانه مورد بررسی قرار دادند: Maya و MIA (به ترتیب هر کدام در گوگل‌پلی 5 میلیون و 1 میلیون بار دانلود شدند). این تحقیق خیلی واضح و روشن بود: Privacy International تنها به ترافیک خروجی این اپ‌ها نگاه کرد (اپ‌هایی که در سندباکس اجرا می‌شدند) و داده‌هایی را که انتقال می‌دادند (از جمله مقصد آن) مورد تحلیل قرار داد. نتایج، بسیار جالب از آب درآمد (البته اگر بخواهیم خلاصه بگوییم). هر دوی این برنامه‌ها درست هنگام راه‌اندازی، حتی پیش از آشنا کردن کاربران با خط‌مشی‌های حریم‌خصوصی‌شان با فیسبوک و سایر شرکا تماس گرفتند. Maya به پلت‌فرم تحلیلیِ CleverTap و MIA نیز به AppsFlyer (همچنین به توسعه‌دهندگان خدمات تحلیل ارائه می‌دهد) اطلاعات ارسال می‌کردند. MIA بلافاصله می‌خواست بداند آیا کاربر این اپ را برای برنامه‌ریزی بارداری نصب کرده است یا صرفاً نظارت بر چرخه‌ی قاعدگی‌اش- و درست همان لحظه شرکای خود را از پاسخ‌ها مطلع می‌کرد. جزئیاتی در خصوص زمان‌بندی و مدت‌زمان چرخه‌ی قاعدگی نیز از کاربر پرسیده می‌شد. سپس این برنامه سعی داشت تا حد امکان در مورد کاربر اطلاعات جمع کند: احساسات، روش‌های پیشگیری، عادات استعمال دخانیات، الکل و کافئین. این اپ حتی سعی داشت اطلاعاتی که حتی ربطی به سلامتی زنان نداشت نیز بگیرد (از جمله مدل مو و مانیکور). این اپ بر اساس اطلاعات جمع‌آوری‌شده و نیز نتیجه‌گیری‌های شخصی‌اش از اینکه کاربر زن در کدام مرحله‌ از این چرخه قرار دارد مقالاتی مرتبط پیشنهاد می‌کرد. این مقالات به نظر بی‌ضرر و حتی کارامد می‌آمدند فقط یک جای کار ایراد داشت و آن هم این بود که: فهرست مقالات به فیسبوک و AppsFlyer فرستاده می‌شد.

رویکرد Maya اما از میزان خلاقیت کمتری برخوردار بود. این اپ هر چه را می‌آموخت دو دستی تقدیم می‌کرد- از اطلاعات در مورد سلامتی گرفته تا حالات، پیشگیری‌ها، محصولات بهداشتی استفاده‌شده توسط کاربر، فعالیت‌های جنسی و غیره. این برنامه شاید در مورد مدل مو و یا مانیکور چیزی نمی‌پرسید ولی یک قابلیت خاطرات شخصی پیشنهاد داده و -طوری که گویی این وظیفه به آن محول شده باشد- محتوا را به فیسبوک و  CleverTap فوروارد می‌کرد.

افزون بر این اطلاعات، اپ‌های مذکور داده‌های شخصی دیگری را نیز همچون آدرس ایمیل و غیره را نیز انتقال می‌دادند. برای کاربرانی که اکانت فیسبوکی داشتند این اطلاعات به تنهایی می‌توانست هویت آن‌ها را رو کند؛ حتی اگر اپ فیسبوک را روی گوشی‌شان هم نصب نکرده بودند. به بیانی دیگر، فیسبوک خوب می‌داند دارد اطلاعاتِ چه کسی را دریافت می‌کند.

چرا شرکت‌ها ولع اطلاعات شخصی دارند؟

شبکه‌های تبلیغاتی با مجهز شدن به سلامت، حالات و عادات جنسی کاربر می‌توانند به طور سودآورتری خدمات و کالاهای خود را به آگهی‌کنندگان بفروشند. به عنوان مثال، هدف قرار دادن زنان باردار با آگهی‌های تبلیغاتی (به طور خاص) ده برابر بیش از آگهی‌های غیرهدفمند سود خواهد داشت؛ زیرا احتمال اینکه این نوع تبلیغات زودتر به خرید منجر شود به مراتب بیشتر است. (نیازهای خرید یک خانم باردار را خیلی راحت‌تر می‌شود حدس زد).

آگهی بدترین بخش نیست؛ بدترین بخش این است که اطلاعات مربوط به سلامت شخصی فرد به دست افراد غیر می‌افتد و همین می‌تواند بعنوان مثال روزی هزینه‌ی بیمه تأثیر داشته باشد. کارفرمایی بالقوه که می‌داند فرد متقاضیِ شغل قرار است بزودی باردار شود شاید به دنبال فردی دیگری بگردد و او را مهره‌ی سوخته اعلام کند. یک خانم باردار شاید حتی نتواند سفر هوایی بین‌المللی هم داشته باشد. حتماً که دلتان نمی‌خواهد فیسبوک در جریان اطلاعاتی که حتی حاضر به اشتراک‌گذاری‌اش با دوستان صمیمی خود هم نیستید قرار گیرد. توسعه‌دهندگان Maya ادعا می‌کنند تمام اطلاعاتی که این اپ درخواست می‌کند برای عملکردش لازم است. خوب تا حدی درست است: داروهایی هورمونی، افزایش استرس و عاداتی چون مصرف دخانیات می‌توانند چرخه‌ی قاعدگی را بر هم مزده و باعث تغییر رفتار و حالات، درد شکم و سایر علایم شود و خوب اگر این اطلاعات دریافت شود خیلی زود می‌توان متوجه شد قاعدگی کاربر در راه است. با این حال، بخش قابل‌ملاحظه‌ای از اطلاعات درخواست‌شده هیچ‌ تأثیری روی صحت تشخیص ندارد.

توسعه‌دهندگان، Facebook Analytics را پاک کردند

خبر خوب اینکه: نه Maya و نه MIA دیگر اطلاعاتی را در اختیار فیسبوک قرار نمی‌دهند. وقتی محققین با توسعه‌دهندگان این دو اپ تماس گرفتند آن‌ها خیلی سریع ابزار Facebook Analytics را -که کارش ارسال داده بود- پاک کردند. بله درست است؛ این دو اپ هنوز از  CleverTap و AppsFlyer استفاده می‌کنند. اینجاست که معلوم می‌شود هیچ نیازی نبود که اطلاعات به فیسبوک منتقل شود- توسعه‌دهندگان بدون اینکه در نظر داشته باشند چه اطلاعاتی کجا می‌رود یک سیستم تحلیلی اضافی یکپارچه‌سازی کردند. سازندگان Maya می‌گویند طرف‌های سوم روی سرورهای CleverTap هیچ دسترسی به اطلاعات ندارند. توسعه‌دهندگان این پلت‌فرم می‌گویند این راهکار با GDPR در تطابق است و فرآیند الگوریتم‌های تحلیلیِ آن داده‌ها را گمنام‌سازی[1] می‌کند. اگر ماجرا از این قرار باشد، پس تهدیدِ حریم‌شخصی از سوی این اپ اکنون می‌تواند در کمترین درجه‌ی خود قرار گرفته باشد.

وضعیت MIA -که به تحلیل‌های AppsFlyer خدمت می‌دهد- کمی متفاوت است. این شرکت در واکنش به تحقیقات محققین گفت کلاینت‌ها را از جمع‌آوری اطلاعات شخصی شامل اطلاعات مربوط به سلامتی‌شان منع کرده است. AppsFlyer ادعا می‌کند که با توسعه‌دهندگان اپ MIA تماس گرفته تا رویکرد تحلیلی‌شان را مورد بازبینی قرار دهند. اما به نقل از محققین، AppsFlyer هنوز در مورد اینکه باید (از سوی اپ‌هایی که به طور خاص روی اطلاعات سلامتی کار می‌کنند) چه اطلاعاتی جمع کند گیج و سردرگم است.

چطور نگذاریم به اطلاعات شخصی‌مان مورد دستبرد واقع شود؟

وقتی دارید هر نوع اطلاعاتی –بخصوص اطلاعات بسیار شخصی- را به هر نوع اپی می‌دهید یادتان باشد آن اپ ممکن است اطلاعات را با یک طرف‌سوم به اشتراک بگذارد. اگر نمی‌توانید بدون آن سرویسِ بخصوص، کار خود را انجام دهید به شما موارد امنیتی زیر را توصیه می‌کنیم:

• اپ‌ها را عاقلانه انتخاب کنید. بازخوردهای داخل گوگل‌پلی و اپ‌استور را بخوانید و چک کنید ببینید کاربران به طور آنلاین چه چیزهایی در مورد توسعه‌دهندگان می‌گویند. شاید برنامه‌ی مورد علاقه‌تان شاید جایی دستش رو شده باشد و شما از آن خبر ندارید.
• اگر اپی درخواستِ داده‌های شخصی شما را کرد، به خط‌مشی حریم‌خصوصی‌اش نگاهی بیاندازید. شاید صراحتاً اعلام کرده باشد که اطلاعات را دو دستی تقدیم شرکت‌های طرف‌سوم می‌کند (که خوب چندان نشانه‌ی خوبی نیست). اما حتی اگر بند خاصی هم در این مورد وجود نداشت، باز هم اگر خط‌مشی مبهم و یا جامع نبود شاید توسعه‌دهندگان آن اپ دارند چیزی را از شما پنهان می‌کنند.
• اگر به اپ ردیابی دوران قاعدگی نیاز دارید پس دست‌کم می‌دانید دو اپ Maya و  MIA همکاری‌شان را با فیسبوک قطع کردند.
• به اپ‌ها اطلاعات بیش از حد لزوم ندهید-  در مورد آنچه نیاز دارند و آن دسته از اطلاعاتی که بدون آن‌‌ها هم می‌توانند کارشان را ادامه دهند بخوبی فکر کنید. این بدان معنا نیست که باید به عصر کاغذ و خودکار برگردید؛ فقط اینکه خوب است اگر بدانید اطلاعات شخصی‌ای که اپ‌ها می‌دهید به ندرت تماماً به عنوان یک راز پیش خودشان باقی می‌ماند. 

[1] Data anonymization