הארי רוז מומחה סייבר במחקר על האפליקציות שמרגלות אחרינו

מיליוני אנשים ברחבי העולם משתמשים מדי יום באפליקציות הסמארטפון הפופולריות ביותר, אבל חקירה חדשה שנערכה על ידי מומחי אבטחת סייבר חושפת מציאות מדאיגה: אפליקציות ש"רעבות למידע" כמו פייסבוק ואינסטגרם, שמבקשות גישה למידע האישי של המשתמשים.

מומחים מארגון הצרכנות הבריטי ״Which?״ חקרו 20 אפליקציות פופולריות בקטגוריות שונות – רשתות חברתיות, קניות מקוונות, כושר ובית חכם – וגילו ממצאים מדאיגים. כל האפליקציות שנבדקו מבקשות הרשאות "מסוכנות" כמו גישה למיקום המשתמש, למיקרופון ולקבצים שמורים במכשיר, גם כאשר אין להן צורך אמיתי בגישה זו.

האפליקציות שנבדקו במחקר כוללות את WhatsApp, Facebook, Instagram, TikTok ו-YouTube מקטגוריית רשתות חברתיות, Amazon, AliExpress ו-Temu מקטגוריית קניות מקוונות, Samsung SmartThings, Ring Doorbell ו-Xiaomi Home מקטגוריית בית חכם, Strava ו-MyFitnessPal מקטגוריית כושר, בנוסף ל-Impulse – סה"כ 14 אפליקציות שהוזכרו בשמותיהן מתוך 20 אפליקציות שנבדקו במחקר, כאשר 6 האפליקציות הנוספות לא פורטו.

הארי רוז, עורך Which?, הסביר את החומרה של המצב: "מיליונים מאיתנו מסתמכים על אפליקציות מדי יום, החל ממעקב אחר הבריאות והכושר שלנו ועד קניות מקוונות. בעוד שרוב האפליקציות האלו חינמיות לשימוש, המחקר שלנו הראה איך משתמשים למעשה משלמים עם המידע שלהם – לעתים קרובות בכמויות מפחידות".

בין אפליקציות הרשתות החברתיות, פייסבוק של מטא זוהתה כ"הכי להוטה למידע משתמשים" – היא דורשת את המספר הגבוה ביותר של הרשאות: 69 בסך הכל, מתוכן שש נחשבות "מסוכנות". וואטסאפ, גם בבעלות מטא, אינה נופלת ממנה ודורשת 66 הרשאות בסך הכל, שש מהן מסוכנות.

החקירה, שנערכה בשיתוף עם מומחי חברת אבטחת הסייבר Hexiosec, בדקה אפליקציות הכוללות כמה מהשמות הגדולים בעולם הטכנולוגי: וואטסאפ, פייסבוק, אינסטגרם, טיקטוק, אמזון, עליאקספרס ועוד.

הנתונים מדברים בעד עצמם: יחד, 20 האפליקציות הורדו יותר מ-28 מיליארד פעמים ברחבי העולם. לאדם ממוצע יש כנראה כמה מהן בטלפון בכל זמן נתון. אם מישהו היה מוריד את כל 20 האפליקציות במכשיר שלו, ביחד הן היו מעניקות 882 הרשאות מדהימות – מה שעלול לתת גישה לכמויות עצומות של מידע אישי.

האפליקציה הסינית Xiaomi Home זוהתה כתובעת הכי הרבה הרשאות – 91 בסך הכל, חמש מהן מתוארות כ"מסוכנות". אפליקציית Smart Things של סמסונג ביקשה 82 הרשאות (מתוכן שמונה מסוכנות), בעוד אינסטגרם של מטא ביקשה 56 הרשאות בסך הכל, ארבע מהן נחשבות "מסוכנות".

טיקטוק ביקשה 41 הרשאות, כולל שלוש מסוכנות – היכולת להקליט אודיו ולראות קבצים במכשיר. יוטיוב ביקשה 47 הרשאות, ארבע מהן "מסוכנות". עליאקספרס ביקשה שש הרשאות מסוכנות, כולל מיקום מדויק, גישה למיקרופונים וקריאת קבצים במכשיר.

מה כל כך מסוכן בהרשאות האלו?
ההרשאות המסוכנות כוללות כאלו שמאפשרות גישה למיקרופון, קריאת קבצים במכשיר או זיהוי המיקום המדויק של המשתמש. המידע הזה הוא סחורה יקרה בעולם הפרסום הדיגיטלי ועלול לאפשר לחברות לכוון למשתמשים פרסומות מדויקות בצורה מפחידה.

הבעיה מחמירה כאשר מתגלה שלא תמיד יש הצדקה ברורה לדרישת ההרשאות הללו. שלוש אפליקציות – עליאקספרס, פייסבוק, וואטסאפ – ביקשו אף הרשאה לראות אילו אפליקציות אחרות נעשה בהן שימוש לאחרונה או פועלות כרגע במכשיר.

עוד ממצא מדאיג: 16 מתוך 20 האפליקציות ביקשו הרשאה שמאפשרת להן ליצור חלונות קופצים בטלפון, גם אם המשתמש בחר לא לקבל התראות מהאפליקציה. שבע אפליקציות אף ביקשו הרשאה להתחיל לפעול אוטומטית כשהמשתמש פותח את הטלפון, גם אם הוא עדיין לא פתח אותן בעצמו.

מקרה מיוחד לדאגה הוא שליחת הנתונים לסין. עליאקספרס זוהתה כאחת משתי האפליקציות (לצד שיאומי) ששולחות נתונים לסין, כולל לרשתות פרסום חשודות. עליאקספרס גם הפציצה משתמשים ב-30 אימיילי שיווק במהלך חודש בלבד אחרי ההורדה, אך החוקרים לא מצאו בקשת הרשאה ספציפית לשלוח את כל האימיילים הללו.

טמו, אפליקציית קניות אחרת בבעלות סינית, גם דחפה את האמצעות להירשם לתוכן שיוויקי באימייל – דבר שמשתמשים רבים יכולים להסכים אליו בקלות מבלי להבין למה הם מסכימים, נימקו המומחים.

איך להגן על עצמכם?
המומחים ממליצים על שלושה צעדים עיקריים:
בדיקת מידע הפרטיות: עיינו במידע איסוף הנתונים ברשימת חנות האפליקציות, כולל ההרשאות שהאפליקציה תבקש.
הגבלה או ביטול הרשאות: ב-iOS של אפל ובאנדרואיד של גוגל, אתם יכולים לשלוט על מה אפליקציות יכולות לגשת למידע שלכם דרך הגדרות המערכת.
מחיקה: אם אתם לא בטוחים לגבי אפליקציה, מחקו אותה – וודאו שכל נתוני החשבון שלכם נמחקים גם כן.

רוז הדגיש: "המחקר שלנו מדגיש למה כל כך חשוב לבדוק למה אתם מסכימים כשאתם מורידים אפליקציה חדשה. כולנו צריכים להיות זהירים יותר מללחוץ 'כן' על הרשאות כשאנחנו ב'טייס אוטומטי' מנטלית בלי באמת להיות מודעים למה אנחנו מסכימים."

בתגובה לממצאים, מטא הכחישה כל שימוש לרעה: "אף אחת מהאפליקציות שלנו לא מפעילה את המיקרופון ברקע או יש לה גישה אליו בלי מעורבות המשתמש. משתמשים חייבים לאשר במפורש במערכת ההפעלה שלהם שהאפליקציה תגש למיקרופון בפעם הראשונה".

דובר סמסונג הבהיר: "כל האפליקציות שלנו, כולל SmartThings, מעוצבות לעמוד בחוקי הגנת המידע בבריטניה ובהנחיות הרלוונטיות ממשרד הנציב למידע."

טיקטוק טענה שפרטיות ואבטחה "בנויות בכל מוצר" שהיא יוצרת, והוסיפה שהיא "אוספת מידע שמשתמשים בוחרים לספק, יחד עם נתונים שתומכים בדברים כמו פונקציונליות אפליקציה, אבטחה וחוויית משתמש כוללת".

סטראווה הגנה על השימוש שלה בהרשאות רגישות כמו מיקום מדויק, וטענה שהן מאפשרות לה "לספק את השירות בדיוק שהמשתמשים שלנו מבקשים" ושהיא "יישמה מחסומים מתאימים" סביב איך נתונים מטופלים.

אמזון הסבירה שהרשאות המכשיר שלה מיועדות לספק "תכונות מועילות" כמו "היכולת לדמיין מוצרים בבית שלהם עם מצלמת המכשיר או לחפש מוצרים באמצעות טקסט לדיבור." החברה הוסיפה שהיא נותנת ללקוחות "שליטה ברורה על פרסום מותאם אישית".

רינג הכחישה וטענה שכל ההרשאות משמשות "לספק תוכנות הפונות למשתמש". החברה הבטיחה: "אנחנו אף פעם לא מוכרים את המידע האישי שלהם, ואנחנו אף פעם לא מפסיקים לעבוד כדי לשמור על המידע שלהם בטוח".

דובר טמו הבהיר שהרשאת המיקום המדויק "משמשת לתמוך בהשלמת כתובת על בסיס מיקום GPS", והוסיף שהחברה "מטפלת בנתוני משתמשים בהתאם לתקנות מקומיות ובינלאומיות".

גוגל (המייצגת את יוטיוב), שיאומי, אימפולס ו-MyFitnessPal לא הגיבו לבקשות החוקרים להגיב על הממצאים.

החקירה נערכה על מכשיר אנדרואיד והרשאות עלולות להשתנות במכשירי iOS של אפל. הממצאים המלאים זמינים באתר Which?