Smartfonlar üçün hazırlanan tətbiqlərin böyük əksəriyyəti istifadəçi və ya onun cihazı haqqında məlumatları bəzən alınan icazələri kənara qoyaraq şifrəsiz, yəni açıq kanallar vasitəsi ilə üçüncü tərəfə ötürür. Burada yaxşılıq o qədər də çox deyil. Paralel olaraq onu deyə bilərik ki, tətbiq olmadan da bir çox internet xidmətlərini köhnə üsulla, yəni brauzerlərlə də açmaq mümkündür. Hər iki üsulun üstünlükləri və mənfi cəhətlərini sizlərə təqdim edəcəyik.
Smartfonunuzda bir proqram işə saldıqda (musiqi pleyeri, geyim mağazası, video oyun, xəbər və ya başqa bir şey) demək olar ki, heç şübhəsiz şirkətlərin serverlərinə qoşulur və onlara hər hansı bir məlumat ötürür: cinsiniz, yaşınız, ad günü, məkan, cihaz haqqında məlumat, telefon nömrəsi, e-poçt, istifadəçi adı və ya parol.
2018-ci ildə Oksford Universitetinin alimləri Android smartfonları üçün Google Play mağazasından 959 min tətbiqin araşdırmasının nəticələrini dərc etdilər. Məlum oldu ki, 90.4% tətbiqin işə salınması zamanı ən azı bir şirkətin sayğacına bağlanır. 17.4% tətbiqdə bu onlarla olub. "Amma demək olmaz ki, əgər tətbiq 30 deyil 1 serverə bağlanırsa, onda bu yaxşıdır: heç bir şey bu tətbiq sahibinin əvvəlcə özünə, sonra tərəfdaşlarına məlumat ötürməsinə mane olmur. Bunu yoxlamaq mümkün deyil", - deyə "Group-IB"nin sistem problemlərinin həlli şöbəsinin müdiri Anton Fişman bildirir.
Oxford Universitetinin iOS tətbiqləri sınanmamışdı, lakin App Store-dan alınan tətbiqlərin balları müqayisə edilə bilər, çünki nə Google, nə də Apple tətbiq hazırlayanlara sayğac qurmağı qadağan etmir.
Məlumat kimə və niyə lazımdır?
Məlumat alanların bəziləri, məsələn, Google hamı tərəfindən tanınır, lakin bəzi adları - AdMobius, Infolinks - heç zaman eşitməmisiniz. Bu sirli şirkətlər, o cümlədən Facebook və Google kimi nəhənglər, digərləriylə yanaşı reklam işləri ilə də məşğul olurlar. Sənin haqqında müxtəlif məlumatları tapmaq, yenidən satmaq və ya hər hansı bir məhsul və ya xidmət təklifi üçün istifadə etmək istəyirlər. Səhmlər yüksəkdir, "Emarketer" konsaltinq agentliyinin məlumatına görə, 2018-ci ildə onlayn reklam bazarının dövriyyəsi 283,4 milyard dollar təşkil etmişdir ki, bu da bütün Amerika filmlərinin dünya miqyasında kassa satışından (41.1 milyard dollar) yeddi dəfə çoxdur.
"Məlumat Mədəniyyəti" qeyri-kommersiya təşkilatının direktoru İvan Beqtinin sözlərinə görə, istifadəçi haqqında məlumat yalnız reklam üçün lazım deyil. İnsanların istehlakçı profillərini bilirsinizsə, eyni xidmət üçün fərqli qiymətlər təyin edərək xərcləməyə meyl edə bilərsiniz: taksi istifadəsi, təyyarə bileti, geyim və s.
İzləyicilərini daha yaxşı başa düşmək üçün tətbiqlər və saytların yaradıcıları tərəfindən daha çox məlumat tələb olunur. Məsələn, bir çox KİV "Google Analytics" vasitəsilə səhifə görünüşlərinin sayını, trafik mənbələrini və s. öyrənə bilir. O cümlədən Google-a məxsus olan "Firebase Crashlytics" xidməti tərtibatçılara tətbiqdəki problemləri müəyyən etməyə və həll yoluna kömək edir, amma bunun üçün "Firebase Crashlytics" serverlərinə məlumat göndərilməlidir.
Təkcə sayta girdiyiniz zaman da məlumatlarınız başqa yerə gedir. Bəzi brauzerlər, o cümlədən "Chrome" və "Safari" təhlükəli səhifələr üçün quraşdırılmış siqnalizasiya sisteminə malikdirlər ki, bunların yüklənməsinə mane olur. Oktyabr ayında bununla bağlı demək olar ki, qalmaqal yaranmışdı.
iOS 13 əməliyyat sisteminin sənədlərinin araşdırılması zamanı məlum olub ki, "Safari" səhifələrin yoxlanılması üçün Çinin "Tencent" şirkətinin xidmətindən istifadə edir. Amma ABŞ hökuməti Çinlə münasibətlərə görə bu şirkətə etibar etmir. "Safari"ni hazırlayan "Apple" şirkəti "The Verge" jurnalistinə bildirib ki, "Tencent" xidməti yalnız Çin ərazisində olan smartfonlarda istifadə olunur (digərilərini Google yoxlayır) və brauzer istifadəçilərinin giriş tarixi uzaq serverlərə ötürülmür və yoxlanışın özü parametrlərdən söndürülə bilər.
Con Hopkins Universitetinin kriptoqrafiya mütəxəssisi, professor Metyu Qrin öz bloqunda bunun həqiqətin yalnız yarısı olduğunu yazıb. Saytı yoxlayarkən məlumat yalnız ilk mərhələdə göndərilmir. Əgər "Safari"nin daxili verilənlər bazasında təhlükəli bir saytla uyğunluq varsa, brauzer əlavə yoxlama üçün Google serveri ilə əlaqə qurur və bu anda smartfonun IP ünvanını və şübhəli səhifənin ünvanını dəyişdirilmiş formada göndərir. Baxmayaraq ki, indiyə qədər heç kim bunun həqiqətən mümkün olduğunu sübut etməyib, ancaq hipotetik olaraq bu, bir insanı tanımağa imkan verir,
Bir sözlə, tətbiqlər kimi brauzerlər də istifadəçilər haqqında məlumatları üçüncü tərəfə göndərirlər və məlumat axınlarını izləmək həmişə mümkün olmur.
Bu qanunidirmi?
Fərqli ölkələrdə fərdi məlumatlarla bağlı qanunlar mövcuddur (Azərbaycanda bu "Fərdi məlumatlar haqqın Azərbaycan Respublikasının Qanunu" adlanır). "Məhsulu qeydiyyata alarkən və ya istifadəyə başlayanda istifadəçi razılaşır. Burada şirkətin nə üçün məlumat toplayacağı və bununla nə edəcəyi göstərilir. Və istifadəçilərə tələb olunan xidməti təqdim etmək üçün şirkət məlumatları tərəfdaşlarına ötürə biləcəyini yazır. İstifadəçi bununla razılaşır", - Anton Fişman deyir. Onun sözlərinə görə, əgər bir şəxs özü haqqında məlumatları sosial şəbəkələrdə, forumlarda və ya İnternetin başqa yerlərində yerləşdiribsə, yəni onu açıq elan edibsə, onlardan istifadəsinə razılıq lazım deyil və anonim məlumatlar, məsələn, IP ünvanı, ümumiyyətlə heç bir şey tələb olunmur.
Məlumatların üçüncü tərəfə ötürülməsi insanların gizlilik pozuntularına görə getdikcə daha çox qəzəblənməsinə baxmayaraq, platformaların qaydalarına zidd deyil. Onsuz da nəhəng kompaniyalar internetdə baş verənlər barədə məlumat toplayır. "Saytlardakı informasiyalardan və ya mobil cihazlardan istifadə haqqında danışarkən Apple və Google bəzən mikrofonları yandırır, söylədiyiniz hər şeyi yazır və təhlil edir. Bu, istifadəçi təcrübəsini yaxşılaşdırmaq üçün edilir. Sözügedən funksiyalar söndürülə bilər, amma telefon cibimdə olarkən bunun baş verməsi xoşagəlməz haldır", - deyir Anton Fişman.
Beləliklə, hansı daha yaxşıdır: brauzer, yoxsa tətbiq?
"Birinin digərindən daha yaxşı olduğunu deyə bilmərəm: gəlin həm brauzerdən, həm də tətbiqlərdən istifadə edək. Hər ikisinin də müsbət və mənfi cəhətləri var", - deyir Anton Fişman. Tətbiqlər ilk tələb olunduqda və ya ilk dəfə işə salındıqda icazə istəyərək məlumatları götürür. Bundan sonra, şəxs bu istəyi rədd edənə qədər etibarlıdır. Amma yadda saxlamaq lazımdır ki, bu istəyi rədd etdikdən sonra proqramın işi dayanır və ya yaxşı işləmir.
Brauzerdəki bir səhifə də icazə istəyə bilər, ancaq bu səhifə açıq olduqda. Ancaq brauzerlərdə tətbiqlərdən fərqli olaraq parametrlərdə məlumat ötürə bilən skriptin icrasını dayandıra, IP ünvanınızı əvəz edən "proxy" istifadə edə bilərsiniz. Bəzi brauzerlər qeyri-adi sayğacları standart olaraq bloklayır və bunu rəqabət üstünlüyü kimi təqdim edirlər.
2016-cı ildə Bostondakı Şimali-Şərq Universitetinin bir qrup tədqiqatçısı nəyin istifadə ediləcəyini araşırmağa çalışdı: brauzerlər, yoxsa tətbiqlər. Məlum oldu ki, veb səhifələr vasitəsi ilə tez-tez adlar və məkan məlumatları sızır. Amma smartfonda olan bütün məlumatlar tətbiqlər vasitəsi ilə əldə edilir. Ümumiyyətlə, tədqiqatçılar bildirirlər ki, brauzer vasitəsilə sayta daxil olmaqdansa, tətbiq istifadə etmək daha yaxşıdır. "Ancaq çox şey konkret xidmətdən və insanın daha çox hansı məlumatları qiymətləndirməsindən asılıdır", - deyə araşdırma müəllifi Devid Şofney bildirib: "Düzdür, son üç ildə komandamız yenidən yoxlama aparmayıb. Bəlkə də yeni quraşdırılmış təhlükəsizlik xüsusiyyətləri bunları brauzerlərin xeyrinə dəyişə bilər."
Məlumat ötürülməsi özlüyündə təhlükə yaratmır. Çox vaxt şirkətlər müəyyən bir şəxsi tanımağa imkan verməyən məlumatlar da alırlar. Ancaq burada hədəf reklamın göndərilməsi üçün anonim profillər barədə məlumatların toplanmasıdır. Bəzən bu məlumatlara istifadəçi adı və şifrə kimi səhv informasiyalar da düşür və istifadəçiyə zərər verə bilir. Proqram müəllifləri bunu yad adamlara deyil, serverlərinə göndərə bilər, lakin bunu ehtiyatsız şəkildə - şifrəsiz bir kanal vasitəsilə edə bilərlər. Sonra təcavüzkarlar onları tuta bilirlər. Brauzerlərin burada bir üstünlüyü var: əksər veb səhifələrə HTTPS protokolundan şifrələmə ilə daxil olur və kanal etibarlı deyilsə, bu birbaşa ünvan çubuğunda yazılır.
Ancaq insanlar həmişə xəbərdarlıqlara əhəmiyyət vermirlər və brauzerlərdə tətbiqlərdən fərqli olaraq fırıldaqçılarla qarşılaşma riski daha yüksəkdir. Bəzən bank və poçt şöbəsinin saytına eyni ilə oxşar saytlar hazırlayırlar heç bir reklam agentliyinin və analitik xidmətin almayacağı məlumatları, məsəl kredit kartı nömrəsini özünüz daxil edirsiniz.
Tətbiqlərlə müqayisədə brauzerlər cihazı daha az dərindən tədqiq edir, bunlara əlavə olaraq onların gizlilik parametrləri və quraşdırılmış qorunma mexanizmləri də var.
Həm brauzerlər, həm də tətbiqlərin əməliyyat sistemində işlədiyini xatırlamağa dəyər. Sistemi daxili alətlər və ya xüsusi proqramlar istifadə edərək konfiqurasiya etsəniz, xidmətlərdən istifadə etməyin hər iki yolu daha etibarlı olacaqdır. Sonda məxfiliyi qorumaq təkcə proqram müəlliflərinin deyil, həm də şəxsin borcudur.
"Group-IB"nin məsləhətləri
"Cihazları yeniləyin."
Bu, əməliyyat sistemi və tətbiqlərin yeniləməsinə aiddir: təcavüzkarların faydalana biləcəyi boşluqları bağlayır. Eyni səbəbdən, smartfonlar üçün qeyri-rəsmi proqram təminatlarından istifadə etməməlisiniz: bəzən insanlar gizli funksiyalara girmək üçün onları quraşdırırlar, lakin nəticədə fırıldaqçılıq qurbanı olurlar.
"Tətbiqləri yalnız rəsmi mağazalardan quraşdırın."
iOS üçün bu AppStore, Android üçün ən böyük mağaza GooglePlay, ancaq Samsung, Huawei və digər istehsalçıların da öz ticarət platformaları var. Tətbiqlərin etibarlı olub olmadığını, sənədsiz funksiyalarının olub olmadığını yoxlayırlar. Ancaq bəzən təcavüzkarlar və ya sadəcə vicdansız bir tərtibatçılar imtahandan keçməyə müvəffəq olurlar, amma bu dərhal məlum olmur.
"Mümkün qədər çox insanın etibar etdiyi tətbiqlərdən yararlanın."
İstisnalar olsa da, populyar tətbiqlər ümumiyyətlə saxta deyildir.
"Tətbiqi yalnız sınamaq üçün quraşdırmayın."
Demək olar ki, bütün tətbiqlər məlumatlarınızı üçüncü tərəfə verirsə, smartfonda başqa bir məlumat axını açmağa ehtiyac yoxdur. Ən pis halda cinayətkarlarla rastlaşacaqsınız.
"Tətbiqin hansı icazələri tələb etdiyinə baxın."
Bu, işləmə üçün lazım olanlardan daha çoxunu tələb edirsə, məsələn, zəng tarixi və ya SMS-ə çıxış əldə edərsə, bu düşünmək və imtina üçün bir fürsətdir. İnsanlar daha ehtiyatlı olmağa başladılar deyə, getdikcə proqram müəllifləri bu və ya digər icazənin nəyə lazım olduğunu birbaşa yazdılar. Məsələn, bir onlayn mağazada kuryer çatdırılmasını bildirmək üçün SMS-lərə giriş tələb oluna bilər.
Paranoidlər isə bunu edir: şübhəli, lakin zəruri tətbiqlər üçün ikinci bir telefon alır, hər şeyə - GPS, Wi-Fi - girişə maneə yaradırlar ki, tətbiq məlumat toplaya bilməsin.
Kameraları yapışdırmaq və gizli danışıqlarda telefonu söndürmək, başqa bir otağa qoymaq da yaxşı bir yanaşmadır. /Faktxeber
