מה ההרשאות שהאפליקציות מבקשות אומרות?
רשימת ההרשאות באנדרואיד יוצרות בלבול, לחץ וחרדה לגבי המידע האישי. ממה צריך לפחד, ממה לא ואיך תחליטו אם אפליקציה היא לגיטימית?
בין אם אתם מסתכלים על המסך של ההרשאות לפני שאתם מתקינים אפליקציה, וגם אם אתם מתעלמים ממנו לחלוטין, אתם עדיין נותנים לכל אפליקציה את היכולת להשתמש ולהפעיל רכיבים מסויימים בטלפון ובהרבה מהמקרים גם גישה למידע אישי. אבל כמה הרשאות זה יותר מדי?
ווטסאפ שואלת איפה אתם
למשל, ההרשאות של ווטסאפ כוללות קבלת ושליחת הודעות SMS, הפעלת המיקרופון, הפעלת המצלמה, קריאת מיקום GPS, קריאת אנשי קשר, שימוש באינטרנט ועוד הרשאות רבות.
על פניו נשמע מלחיץ, אבל האפליקציה אכן זקוקה להרשאות האלה. ווטסאפ מסתמכת על רשימת אנשי הקשר שלכם בשביל רשימת חברים, והיא משתמשת בגישה לאינטרנט כדי לשלוח לחברים תמונות, הקלטות קוליות ומיקום מדויק.
הסבר לא מפורט
הרשאות בטלפון הן עסק מסובך מאוד עבור משתמשים - להבין אותן וגם לשלוט בהן. גוגל מודעת לכך, ולכן כמעט בכל עדכון של חנות האפליציות שלה, Play Store, מתעדכן גם מסך ההרשאות כדי שיהיה יותר ברור. המסך מחולק לראשי פרקים, ולחיצה על כל אחד תפתח הסבר קצר על ההרשאה.
לצערנו, ההסבר של גוגל הוא כללי על ההרשאה, ולא נוגע בשימוש של האפליקציה בה. כלומר אם אפליקציה מסויימת מבקשת הרשאות לרשימת אנשי הקשר, ההסבר הוא מה ההרשאה אומרת שאפשר לעשות, הזו ולא מה האפליקציה הספציפית הזו עושה איתה. גוגל שקלה לאפשר למפתחים לכתוב בעצם הסבר על ההרשאות שהאפליקציות שלהם מבקשות, אבל דחתה אותו בסוף מכיוון שההסבר הזה יכול להיות שקרי ולהישמע משכנע גם כשמדובר באפליקציה זדונית. בשלב מסוים גוגל שקלה לתת למשתמש את החופש לחסום הרשאות בודדות לאפליקציה, אבל ירדה מזה על מנת שחוויית המשתמש באפליקציה לא תיפגע.
כך למשל Phone calls מאפשרת בין השאר לאפליקציה לתקשר עם יישום החייגן, כדי לדעת אם שיחה נכנסת. זאת על מנת לשמור סטטוס שהתחלתם לכתוב או נקודה במשחק שהגעתם אליה במקרה שהטלפון פתאום מצלצל וקוטע את הפעולה שלכם. נעשה בזה שימוש גם לזהות אתכם למקרה שהסרתם והתקנתם את האפליקציה ואתם רוצים לשמור העדפות.
אז מי מאזין לכם? בגדול, אם אתם מתקינים רק אפליקציות מוכרות, סביר להניח שאף אחד. אפליקציות פופולריות, כמו המסנג'ר של פייסבוק, נמצאות תחת בחינה מתמדת של מומחי אבטחה ומתכנתים שלא מטעם גוגל. לעומת זאת, אפליקציה של מפתח לא מוכר שאין לה יותר מכמה עשרות הורדות, כנראה לא תיבדק על ידי מומחי אבטחה פרטיים. גוגל עצמה, לעומת זאת, לא תקל ראש איתה.
כלב השמירה של גוגל
כדי להתמודד עם יותר מ-20,000 אפליקציות חדשות בחודש, גוגל מפעילה בדיקות אוטומטיות על כל אחת שמוגשת לחנות שלה. הבדיקות כוללות מאפייני זיהוי של וירוסים ("חתימות" בעגה המקצועית), חיפוש אחר קוד ששולח הודעות SMS ליעדים מסויימים מתוך חשש שהן עלולות לעלות כסף למשתמש, קוד ששולח למפתח את רשימת אנשי הקשר וכו'. גוגל משקללת המון פרמטרים נוספים בסריקות האלה שאינם קוד. למשל, גוגל בודקת את הלגיטימיות של אפליקציות אחרות מאותו מפתח, אמיתות של מספר כרטיס האשראי שהוא הזין לגוגל, ואף פרמטרים כמו כמה זמן המשתמש משתהה בעמוד האפליקציה עד שהוא לוחץ על כפתור ההתקנה או האם המשתמש מחק אותה זמן קצר אחרי ההתקנה.
לגוגל יש אפילו כלים לבחון אפליקציות שהותקנו מחוץ ל-Play Store, כמו חנויות צד שלישי או קבצי APK שהורדו מאתרי אינטרנט (מה שלא מומלץ לעשות, אלא אם אתם סומכים במאה אחוז על המפתח). אמנם מחוץ לחנות יש לגוגל פחות שליטה על האפליקציה, אבל המכשיר עדיין מדווח לגוגל על ההתקנה, על מנת שתריץ בדיקה מרחוק באופן שדומה להתנהגות של אנטי וירוס. פעילות זו עוזרת לגוגל לזהות אם מסתובבת אפליקציה מרושעת מחוץ לחנות.
מהנדס האבטחה הראשי של אנדרואיד, אדריאן לדוויג, אמר בראיון בתחילת השנה שברוב המקרים שיש אפליקציה עם דרישות מוגזמות, מדובר בטעות או אי הבנה של המפתח, ובמקרים כאלה גוגל מתריעה לו על הליקויים, הוא מתקן אותם והאפליקציה עולה לחנות. במקרים קיצוניים שגוגל מזהה אפליקציה זדונית באמת, גוגל מסירה אותה מחנות האפליקציות ויש לה אפילו את היכולת למחוק אותה מהמכשירים שהיא הותקנה עליהם.
למרות המוניטין הנקי למדי של גוגל וחנות האפליקציות שלה, חברות אבטחה עדיין מדווחות על מספר רב של אפליקציות זדוניות שנמצאות בשוק. חשוב לזכור שגם לגוגל וגם לחברות האבטחה יש אינטרסים בתחום הזה. חברות האבטחה רוצות להלחיץ את הציבור כי הן מעוניינות למכור מוצרי הגנה. גוגל, מאידך, רוצה לייפות את הנתונים ולשדר ביטחון למשתמשים כדי לרכוש את אמונם בפלטפורמת האנדרואיד.
פחות הרשאות, פחות דאגות
צוות הפיתוח של אנדרואיד מעוניין שאפליקציות יבקשו את מינימום ההרשאות שהן צריכות כדי לתת למשתמש חווית שימוש טובה.
כדי לצמצם את מספר ההרשאות, אנדרואיד מציעה למפתח מספר דרכים להשתמש במידע מסויים מבלי להצטרך אליו הרשאה. למשל, במקום שאפליקציה תדרוש הרשאה לקרוא את רשימת אנשי הקשר, מפתחים אשר זקוקים לאיש קשר בשביל לשלוח לו משהו, יכולים לבקש ממערכת ההפעלה להציג את אנשי הקשר למשתמש מבלי שהאפליקציה תהיה חשופה לה.
עוד דרך לחסוך בהרשאות היא לאפשר לאפליקציות לבקש ממערכת ההפעלה מיקום גיאוגרפי גס ביותר עד דיוק של קילומטר מבלי שהאפליקציה עצמה תפנה לרכיב ה-GPS. בעתיד גוגל מתכננת לאפשר למפתחים לבקש ממערכת ההפעלה להציג פרסומות מבלי שהאפליקציה עצמה תצטרך הרשאת שימוש באינטרנט של המכשיר.
לדוויג מרגיע ואומר שרוב האפליקציות לא דורשות יותר הרשאות משהן צריכות. כך, למשל, אפשר לומר שלמרות כל חששות בנושא, פייסבוק או פייסבוק מסנג'ר לא מבקשות הרשאות כדי לגנוב לכם מידע. ואם גוגל, אחת המתחרות הגדולות של פייסבוק, אומרת את זה, כנראה שאפשר להאמין לה. אם כי הרבה מהמידע שנמצא בידי פייסבוק ניתן לה בידיעתנו - תמונות, המיקום שלנו כשאנחנו עושים צ'קאין, פרטים אישיים וקשרים חברתיים.
בכלל, שום אפליקציה לא יכולה להפעיל את המצלמה או את המיקרופון כשהמסך כבוי או כשהיא רצה ברקע (אם כי מיקרופון בתוכנת הקלטה לא ייכבה, אם תכבו את המסך - כדי שתוכלו להקליט באופן ממושך), כך שאם אתם חוששים שפייסבוק מסנג'ר מצלמת אתכם בלי ידיעתכם, אתם יכולים להירגע.
מצד שני בדיקה של רשויות פרטיות ברחבי העולם כולל ישראל שפורסמה לפני שבועיים, העלתה כי מרבית האפליקציות מאלה שנדגמו מבקשות הרשאות שלא לצורך. אין זה אומר בהכרח שמפתחי האפליקציות עושים בהרשאות שימוש לרעה, אבל זה כן מדליק נורה אדומה ומראה שצריך לבדוק ולחקור בהרשאות שאפליקציה מבקשת.
להתקין או לא להתקין?
אין למשתמשים או לגוגל אפשרות לדעת מה אפליקציה עושה עם המידע שהיא מקבלת באמצעות הרשאה, כמו שימוש במצלמה או גישה לזכרון המשותף של המכשיר. לדוגמה, אפליקציית צילום צריכה הרשאת מצלמה ואינטרנט, אבל אין למשתמש דרך לדעת אם היא מעלה את התמונות למאגרים של צד שלישי, אלא אם החברה מצהירה על כך מיוזמתה בתנאי השימוש או בהצהרת הפרטיות.
אתם, כמשתמשים, חייבים לתת אמון באפליקציה. לכן עליכם לסמוך על השיפוט שלכם ושל משתמשים אחרים בחנות האפליקציות של גוגל כשאתם מתלבטים אם להתקין או לא להתקין אפליקציה. אנחנו ממליצים לקרוא בעיון את ההרשאות שהאפליקציה מבקשת - האם יש סיבה שהאפליקציה תצטרך את כל ההרשאות האלה?
בדרך כלל כשאתם מתכוונים להוריד אפליקציה יש לכם מושג כלשהו על מה היא אמורה לעשות. ודאו שהאפליקציה שאתם רוצים להוריד בעלת מספר הורדות גבוה, ואנחנו גם ממליצים לקרוא ביקורות משתמשים ב-Play Store. והכי חשוב, היזהרו מלהתקין אפליקציות שמנסות להידמות לאפליקציות פופולריות. ואם הורדתם אפליקציה שנראית לכם חשודה, מחקו אותה. גם הפעולה הזו יכולה לעזור לגוגל לאתר אפליקציות זדוניות.
