حقوق الصورة: CC0 Public Domain
قد تلتقط بعض التطبيقات الشهيرة في هاتفك صوراً للشاشة تحتوي أنشطتك وترسلها لأطراف ثالثة، وفقاً لدراسة جديدة أجراها فريق من الباحثين في جامعة نورث إيسترن (Northeastern).
يقول الباحثون بأن هذا الأمر مزعج بشكل خاص حيث أن هذه الصور والفيديوهات الخاصة بأنشطتك على الشاشة قد تحتوي معرّفات وكلمات سر وأرقام بطاقة الائتمان، ومعلومات شخصية أخرى مهمة.
يقول ديفيد تشوفنيس David Choffnes، أحد أستاذة علم الحاسوب المشرفين على الدراسة: "لقد وجدنا بأن هناك الآلاف من التطبيقات الشهيرة تمتلك القدرة على تسجيل محتويات شاشتك بالإضافة لكل ما تكتبه، إذ يتضمن ذلك اسم المستخدم وكلمة المرور، لأنه يمكن تسجيل الأحرف التي تكتبها قبل أن تتحول إلى تلك النقاط السوداء الصغيرة".
صُمّمت هذه الدراسة التي قادها إلى حدٍ كبير الطالبان هما إيلين بان Elleen Pan والمرشح للدكتوراه جينغ جينغ رين Jingjing Ren لاستكشاف الأسطورة الحضرية الدائمة (إذ تستطيع الهواتف تسجيل محادثاتنا وبيع المعلومات للشركات وبهذا تستطيع إزعاجك بإعلاناتها الموجّهة). بينما لم يجد الباحثون أي دليل حول المحادثات المسجلة، فقد اكتشفوا نشاطاً يمكن أن يكون أكثر خطورة.
يقول تشوفنيس: "لقد علمنا بأننا كنا نبحث عن إبرة في كومة قش، وفوجئنا بالعثور على عدد من الإبر".
ما وجدوه هو أن بعض الشركات ترسل لقطاتٍ للشاشة وفيديوهاتٍ لأنشطة هاتف المستخدم لأطراف ثالثة، بالرغم من أن اختراق الخصوصية هذا لا يبدو خطيراً، غير أنها أظهرت مدى سهولة استغلال نافذة خصوصية المستخدم لأغراض تحقيق الربح.
يقول كريستو ويلسون Christo Wilson، أستاذ آخر في علوم الحاسوب في فريق البحث: "من المؤكد غالباً أنه يمكن استغلال هذا المنفذ لأغراض خبيثة، وسيكون من السهل تثبيت وجمع هذه المعلومات، وما يثير القلق أكثر هو حدوث ذلك بدون إرسال إشعارات أو طلب الإذن من المستخدمين، ونتيجة للحالات التي وجدناها فقد كانت المعلومات المُرسَلة للطرف الثالث هي رموز بريدية، ولكن يمكن أن يكون من السهل أيضاً الحصول على أرقام البطاقة الائتمانية".
الدراسة
حلل الباحثون أكثر من 17,000 من التطبيقات الأكثر شيوعاً في نظام الأندرويد باستخدام برنامج اختبار آلي مكتوب بواسطة الطلاب، وبالرغم من أن الدراسة أجريت على هواتف الأندرويد، يقول ويلسون وتشوفنيس بأنه لا يوجد أي سبب لتصديق أنّ أنظمة تشغيل الهواتف الأخرى ستكون أقل عرضة للاختراق.
بدأت بان بالعمل على ذلك كمشروع بحثي في خريف 2017 وأكملت العمل عليه حتى تخرجها في شهر أيار/مايو، إذ ستعرض الورقة في برشلونة في وقت لاحق من هذا الشهر في مؤتمر وندوة تعزيز تكنولوجيا الخصوصية.
تقول بان الكاتبة الأولى لهذه الورقة: "بالحديث عن هذا المشروع، لم أكن أفكر كثيراً بخصوصية هاتفي وكذلك أصدقائي، لقد أثار هذا بالطبع اهتمامي بالبحث، وأنا أفكِّر بالعودة إلى الدراسات العليا". ولكن في الوقت الحالي، تقوم بان بالتحضير لمؤتمر برشلونة وستبدأ عملاً في آب/أغسطس كمهندسة برمجيات لـسكوير (Square) شركة الدفع عبر الهواتف المحمولة.
صرح ويلسون أثناء إجراء البحث بأن الفريق كله فوجئ تماماً بالنتائج، إذ يقول: "لم يكن هناك تسريب للصوتيات أبداً ، فلا يوجد أي تطبيق فعّل الميكروفون، ولكن رأينا أشياء لم نتوقعها، فقد كانت التطبيقات تلتقط صوراً للشاشة بشكل تلقائي وترسلها إلى أطراف ثالثة".
كان من المحتمل أن يقوم 9,000 تطبيق من أصل 17,000 بالتقاط صور للشاشة. يقول ويلسون: "في حالة واحدة، قامت إحدى التطبيقات بتسجيل فيديو لنشاط الشاشة وإرسال المعلومات إلى طرف ثالث".
كان ذلك التطبيق هو GoPuff خدمة توصيل المأكولات السريعة، والذي يرسل لقطات الشاشة إلى آبسي (Appsee) شركة تحليل بيانات لأجهزة الهواتف المحمولة، ويحدث كل هذا بدون وعي من مستخدمي التطبيق.
أكد كل من ويلسون وتشوفنيس أن الشركة لا تبدو وكأنها تحمل النوايا الشريرة، فهناك مطورو ويب يستخدمون هذا النوع من البرنامج لتصحيح تطبيقاتهم ولتحسين تجربة المستخدم، ولكن هذا لا يعني بأي حال عدم وجود شركات خبيثة تسعى لاستخدام نافذة الخصوصية هذه من أجل سرقة معلومات المستخدم لأغراض ربحية.
يقول تشوفنيس: "من المحتمل أن يكون هذا أسوأ بكثير من وجود كاميرا تأخذ الصور للسقف أو ميكروفون يسجل المحادثات التي لا طائل منها، ولا توجد هناك وسيلة آمنة من أجل إغلاق هذه النافذة".
غيرت GoPuff بنود اتفاقية شروط الخدمة لتنبيه المستخدمين بأن الشركة قد تلتقط صوراً للشاشة من أجل أنماط استخدامها، كما أصدرت غوغل (Google) بياناً يؤكد على أن سياستها تتطلب من المطورين الكشف عن كيفية تجميع معلوماتهم للمستخدمين. ولكن يقول ويلسون بأن هذا يحمي الشركات من الدعاوى القضائية دون الاضطرار لفعل الكثير لحماية خصوصية المستخدمين الذين نادراً ما يقرؤون الاتفاقيات القانونية الطويلة.
ويقول الاثنان بأن نافذة الخصوصية لن تغلق حتى تعيد شركات الهواتف تصميم أنظمة التشغيل الخاصة بها، والذي لا يُتوقَع بأي حال بأنه سيحدث قريباً.