דו"ח טכנולוגי
פרטיות במובייל? רק למי שיש לו כסף
מכשירי אנדרואיד מוזלים מגיעים עם אפליקציות ריגול שפוגעות בזכויות המשתמשים; טכנאי של אפל נתפס בגניבת תמונות אינטימיות מאייפון של לקוחה; ומפתחת וורדפרס רוצה לאפשר לבלוגרים לגבות דמי מנוי מקוראיהם
לא מדובר בשאלה תיאורטית, אפילו לא מדובר בסוגיה חדשה; מאז ומתמיד היו יכולים בעלי ממון לקנות לעצמם פרטיות גדולה יותר באמצעות רכישת אחוזות גדולות ומבודדות (ובעשורים האחרונים גם קניית דירות יוקרה בשכונות סגורות), בשעה שהמוני העם מצטופפים זה לצד זה בבנייני מגורים צפופים בערים דחוסות. אבל כיום היא הופכת למוחשית במיוחד, והפער בין אלה שיכולים להרשות לעצמם פרטיות (או לפחות מידה מוגברת שלה) לאלה שלא בולטת מתמיד באדיבות בן הלוויה הפופולרי ביותר של העשור הנוכחי - הסמארטפון.
אם לפני 12 שנים, כשהושק האייפון הראשון, היה הסמארטפון מכשיר רק לבעלי הון עודף, כיום כבר מדובר במוצר צריכה בסיסי, שחיוני להתנהלות היומיומית בכל מדינה מפותחת. ואולם, גם במדינות מתפתחות הוא נמצא בשימוש נרחב ומצוי בידיהם של אזרחים מכל שכבות האוכלוסייה, בערך מחצית מאוכלוסיית העולם. זאת, הודות להגעה לשוק של מכשירים סופר-זולים, שחלקם נמכר במדינות מפותחות במחיר שיכול להיות יקר רק במעט מארוחה במקדונלד'ס.
אבל על המחיר הכספי הנמוך משלמים הלקוחות מחיר גבוה בפרטיות שלהם, כי מסתבר שחרף ההוזלות המשמעותיות בעלויות פיתוח, רכיבים, ייצור והרכבה של סמארטפונים, מכשיר שעולה 30 דולר לא משאיר ליצרנית שולי רווח גבוהים, אם בכלל. ואת הפער בין המחיר הנמוך לצורך לייצר רווח כספי משלימה היצרנית בהתקנת יישומים מובנים של גורמי צד ג', תמורת תשלום כמובן.
לפי מחקר שפרסם לאחרונה ארגון Privacy International, אפליקציות מובנות נהנות מגישה רחבה יותר למידע במכשיר, לרוב ללא צורך בבקשת הרשאה מהמשתמשים. בנוסף, פעמים רבות המשתמש לא יכול להסיר אותן או להגביל את פעילותן, והן גם לא קיימות בחנות האפלקציות של אנדרואיד כך שלא ניתן לעדכן אותן והן חשופות יותר לפרצות אבטחה.
במסגרת המחקר בחן הארגון את האפליקציות המובנות שמותקנות על מכשיר MYA 2, סמארטפון בעלות 19 דולר של המותג הפיליפיני MyPhone. לצד האפליקציות המובנות ה"רגילות" כמו שעון, מחשבון, יישומים שונים של גוגל, הגיע המכשיר עם ארבעה יישומים יוצאי דופן:
- MyPhoneRegistraion - אפליקציה של יצרנית המכשיר שהייעוד הרשמי שלה הוא לאפשר למשתמש לרשום את הסמארטפון כדי להפעיל את האחריות ולקבל עדכוני תוכנה, אך שלמעשה זוכה לגישה לרשימת השיחות ויכולה גם להוציא שיחות ולשלוח ולצפות בהודעות SMS וכן לגשת לקבצים שמאוחסנים במכשיר. במהלך הבדיקה התברר שהאפליקציה מתקשרת עם שרת מרוחק בלי להשתמש בפרוטוקולי הצפנה מקובלים, כך שמידע כמו שם, תאריך לידה ומגדר המשתמש היה גלוי לחברה שהפעיל את השרת שבו השתמשה MyPhone.
- Brown Portal - יישום פורטל עם ממשק דמוי דפדפן, שלא ניתן למחוק ויכול לגשת למידע כמו תעבורת רשת ונתוני מיקום. הוא מפותח על ידי החברה האם של MyPhone.
- Pinoy - אפליקצייה שמספקת גישה לשירותים בתשלום כמו בידור, חדשות, בדיחות והורוסקופ, ומקדמת שירותים שונים בתשלום כמו שירות לקבלת הודעות SMS לשיפור מצב הרוח. האפליקציה יכולה לגשת לרשימת אנשי הקשר, המיקום, הודעות SMS, רישום השיחות ומידע אחר שמאוחסן על המכשיר. לא ניתן למחוק אותה, וגם היא מתקשרת בתעבורה לא מוצפנת.
- Facebook Lite – גרסת הרשת החברתית למכשירים אטיים או עם חיבור אטי לרשת מקבל גישה מובנת ללוח השנה, מצלמה, אנשי קשר, מיקום, מיקרופון, טלפון, SMS ושטח אחסון. אין שום אפשרות להסיר אותה.
ולא מדובר במשהו שקורה רק אצל יצרנית אחת; מחקר נרחב של אוניברסיטת קורנל שפורסם במאי שעבר בחן מכשירי אנדרואיד של כ-200 יצרניות, ומצא שמדובר במגמה מדאיגה: חברות צד ג' משלמות ליצרניות כדי להתקין אפליקציות מובנות במכשירים, בעיקר מוזלים, שפעמים רבות כוללות קוד זדוני. "בשרשרת האספקה סביב אנדרואיד חסרה שקיפות והיא מאפשרת התנהגויות שעלולות להזיק למשתמשים כמו דלתות אחוריות שמספקות גישה למידע רגיש בלי הסכמת או ידיעת המשתמש", כתבו החוקרים.
אפליקציות מיותרות שמגיעות על מכשיר אינן המצאה חדשה, הן קיימות עוד מימי המחשבים האישיים. ובסמארטפונים אפשר למצוא אותן גם במכשירי דגל של יצרניות כמו סמסונג, בהבדל חשוב - יצרניות גדולות מחויבות יותר לפרטיות המידע של המשתמש, שגם מועבר ונשמר בצורה מאובטחת יותר, וההתנהגות של היישומים המובנים היא לרוב פולשנית פחות.
ההבדל כאן הוא בבחירה של המשתמש. משתמש שיכול להרשות זאת לעצמו יכול להחליט האם הוא קונה מכשיר שמגיע עם שורה של אפליקציות מיותרות כמו גלקסי של סמסונג, בוחר מכשיר מנופח פחות כמו פיקסל של גוגל, או בכלל הולך לאייפון של אפל, שלפחות בהיבטי פרטיות נחשב באופן כללי לפולשני פחות ממכשירי אנדרואיד.
הוא גם יכול לבחור בצעד קיצוני כמו רכישת מכשיר דוגמת Librem 5 של Purism האמריקאית, שמריץ מערכת הפעלה מבוססת לינוקס בשם PureOS, שכולה בקוד פתוח ואינה נשלטת על ידי שום יצרנית גדולה, כך שאפשר תמיד לוודא את פרטיות המידע, ועולה 699 דולר.
אבל זו ברירה של צרכנים במדינות מפותחות. במדינות כמו הפיליפינים או הודו, פעמים רבות הבחירה היא בין סמארטפון זול עמוס אפליקציות שמתפקדות כשירותי ריגולי מקומיים, לבין שום סמארטפון. זו לא בהכרח בחירה שאפשר לעשות, וזה לא משהו שניתן לשנות באמצעות יצירת מודעות לנושא בקרב צרכנים.
אם יש גוף שיכול לסייע בקצת הרי שזה גוגל. MyPhone, ציינו ב-Privacy International, היא לא יצרנית רנדומלית שהחליטה להשתמש באנדרואיד, אלא שותפה מוכרת, Certified Partner, של גוגל. מעמד זה אמור לחייב אותה לעמוד בדרישות מסוימות, ובהן להבטיח את האבטחה והביצועים של אפליקציות שמותקנות מראש על המכשיר. המכשיר שבחן הארגון לא רק שמגיע עם אפליקציות לא מאובטחות, אלא גם עם גרסה מיושנת של אנדרואיד. שלילת ההכרה בחברה, או חיובה לאבטח טוב יותר את המכשירים שלה ואת האפליקציות שמותקנות עליהם מראש, יכולים לסייע רבות כדי להגביל את הפגיעה בפרטיות.
פערים תמיד ישארו, השאלה האם פרטיות היא זכויות יסוד או מצרך מותרות כבר הוכרעה בפועל מזמן – מי שיש לו יותר כסף נהנה מיותר פרטיות – אבל זה לא אומר שאי אפשר לצמצם אותם, שאי אפשר להעניק גם למי שלא יכול להרשות לעצמו אייפון אפילו שמץ של פרטיות בסמארטפון שלו.
קצרצרים
1. ורק כדי להוכיח שלא משנה כמה המכשיר שלכם מאובטח ומוגן, שום דבר לא באמת פרטי מגיע הסיפור הבא: אפל פיטרה עובד באחת מהחנויות שלה, אחרי שהתברר שהוא חיטט באייפון שלקוחה הביאה לטיפול, מצא תמונות אינטימיות שלה וסימס אותן לעצמו. עובדי התמיכה של אפל מכונים ג'ניוסים, גאונים. אז ה"גאון" הזה לא מחק את ההודעות היוצאות ששלח, והלקוחה גילתה על מעשיו מיד כשחזרה לביתה עם המכשיר.
2. עדיין בחדשות דברים מעצבנים שקשורים לאפל, סגן הנשיא הבכיר לשיווק בינלאומי, פיל שילר, החליט לקטול את הכרומבוקים. "הכרומבוקים נכנסו לכיתות כי הם כלים זולים לעשות עליהם מבחנים נחוצים", הוא אמר בראיון ל-Cnet. "אם כל מה שאתה רוצה לעשות זה לבחון ילדים, אז אולי מחשב נייד זול יעשה את זה. אבל הם לא יכולים להצליח איתם". לא קול, פיל. לא קול.
3. בלוגים, הם עדיין קיימים. ועכשיו פלטפורמות הבלוגינג הגדולה בעולם, וורדפרס, רוצה גם לאפשר ליוצרים שלהם להתפרנס בכבוד. החברה שמאחורי וורדפרס, אוטומטיק, השיקה כלי חדש שיאפשר למפעילי בלוגים לגבות מקוראים דמי מנוי חודשיים. הכלי יהיה זמן למנויים בתשלום ב-wordpress.com או לבעלי אתרים מבוססי וורדפרס שעושים שימוש בערכת Jetpack של החברה.