كان من الأفضل لشركة آبل أن تُبدّل عنوان إعلانها الأخير من "الخصوصيّة على آيفون" (Privacy on iPhone) إلى "القرصنة على آيفون" (Piracy on iPhone) نظرا لخلط المفاهيم الذي تنتهجه -رفقة شركة غوغل- لأنها تُحارب مُمارسات تتبّع نشاط المُستخدم على الإنترنت وتُطوّر أدوات للحد منه، وهذا الكلام سارٍ فقط على المُتصفّح. أما في التطبيقات، فيُمكن للمُطوّر أن يستخدم ما يحلو له، لتكون أجهزة آبل وغوغل الذكيّة مرتعا لأدوات أخطر من تلك المُنتشرة على الويب(1).
لا خصوصيّة على الويب
مع ظهور مواقع الإنترنت وانتشارها، كان لا بُد من تطوير أداة بسيطة تُتيح لصاحب الموقع معرفة عدد المُستخدمين الذين قاموا بزيارته، لتخرج حلول بسيطة على هيئة عدّاد تصاعُدي تزداد قيمته مع كل مرّة تُفتح الصفحة بها. مُجرّد تحديث الصفحة سيزيد من قيمة ذلك العدّاد، الأمر الذي دفع المُطوّرين للاعتماد على الملفّات المؤقّتة "كوكيز" (Cookies) للتأكّد من أن المُستخدم لم يقم سابقا بزيارة هذه الصفحة قبل زيادة قيمة العدّاد. تلك الملفّات نفسها استُخدمت فيما بعد في المواقع التي تُتيح إنشاء حساب، فعوضا عن تسجيل الدخول مع كل زيارة، سيحفظ المُتصفّح بيانات المُستخدم وسيقوم بتسجيل دخوله آليا.
كانت هذه اللبنة الأولى لأدوات تتبّع نشاط المُستخدم على الإنترنت التي تطوّرت مع مرور الوقت وأصبحت على هيئة أنظمة كاملة تُتيح لأصحاب المواقع معرفة تفصيل كامل عن مسيرة المُستخدم داخل الموقع، منذ اللحظة الأولى لدخوله وحتى خروجه، وهذا يتضمّن معرفة الموقع الذي كان يتصفّحه قبل الوصول إلى الموقع الحالي، والوقت الذي قضاه في كل صفحة، بالإضافة إلى الروابط التي قام بالضغط عليها أيضا، وهذا لمُساعدة أصحاب المواقع والمشاريع على تحسين تجربة الاستخدام قدر الإمكان والعثور على المشاكل الموجودة لمُعالجتها أولا بأول.
تلك البيانات مثّلت فرصة لا تُعوّض لشركات الإعلانات، فمعرفة توجّهات المُستخدمين والمواقع التي يقومون بزيارتها، بالإضافة إلى كلمات البحث التي قاموا بكتابتها ستسمح لهم بعرض إعلانات تُلبّي حاجة المُستخدم وتدفعه للضغط عليها، لتحصل شركة الإعلانات على عائد مادّي، وتكسب الشركة المُعلنة زبونا مُحتملا، ويحصل المُستخدم على مُبتغاه بأسهل الطُّرق. هذا في الوضع الطبيعي، لكن البعض -مثل فيسبوك- ذهب لما هو أبعد من ذلك، وأصبح نشاط المُستخدم على شبكة الإنترنت سلعة كاملة تُباع لأي شخص يدفع، لا بنيّة تحسين تجربة الاستخدام، ولا بنيّة عرض إعلانات مُلائمة، فالأهداف قد تكون التلاعب برأيه سياسيًّا، أو بمشاعره، أو حتى بالتحايل عليه وخداعه لسرقة بياناته الخاصّة واستفزازه بها(2).
لكن، ولأن الأساس واحد، بدأت الشركات مثل غوغل وآبل بتشديد الخناق على استخدام الملفّات المؤقّتة مانحة المُستخدم ما يُعرف بالوضع الآمن (Incognito Mode) في مُتصفّحاتها الذي يمنع أي جهة من تخزين ملفّاته المؤقّتة على جهاز المُستخدم، وبالتالي عدم معرفة الموقع الذي جاء منه، أو الذي سيتوجّه إليه(3)، وتلك أدوات يُمكن التحايل عليها، إلا أن جهود كلٍّ من آبل وغوغل تذهب نحو منع أي برمجيات تُحاول التعرّف على هويّة المُستخدم وتتبّع نشاطه(4).
بيوت دون أبواب
التهجّم على آبل وغوغل، وعدم أخذ محاولاتها على محمل الجد، يأتي من الكوارث التي تركتها في متاجر التطبيقات، فالمُستخدمون اليوم يعتمدون على الأجهزة الذكية أكثر من الحواسب التقليدية(5). ومن جهة أُخرى، يقضون أكثر من 85? من وقتهم داخل التطبيقات على تلك الأجهزة، لذا تلعب متاجر مثل "غوغل بلاي" (Google Play) و"آب ستور" (App Store) دورا مفصليًّا في حماية خصوصيّة المُستخدم على شبكة الإنترنت(6).
على أرض الواقع، فإن ما حصل داخل مواقع الإنترنت تكرّر من جديد داخل التطبيقات، فالمُطوّرون بحاجة إلى أدوات تُساعدهم على تحليل سلوك المُستخدم داخل التطبيق، وعلى معرفة المشاكل التي أدّت إلى توقّف التطبيق عن العمل بشكل مُفاجئ، بالإضافة إلى عدد مرّات استخدام التطبيق يوميا، والوقت الذي يقضيه فيه. وعلاوة على ما سبق، يلجأ المُطوّرون عادة إلى الإعلانات كمصدر للدخل، وهذا يعني شبكات إعلانية داخل تلك التطبيقات تماما مثلما هو الحال في المواقع الإلكترونية.
ما سبق، أي استخدام أدوات لتحليل سلوك المُستخدم وعرض إعلانات له، يُمكن تحقيقه باستخدام ما يُعرف بالحزم التطويرية (SDK) التي توفّرها مجموعة مُختلفة من الشركات منها غوغل وفيسبوك، آبل وتويتر، وغيرها من الشركات، وتلك حزم تأتي لتسهيل حياة المُطوّر، فعوضا عن تطوير نظام خاص للإعلانات، يُمكن ببضعة أسطر برمجية الاعتماد على نظام غوغل على سبيل المثال لا الحصر، لتُصبح العملية آلية يحصل المُطوّر منها على عائد مادّي دون صرف الكثير من الوقت(7).
تطوير أنظمة تسجيل الدخول عالجته شركات مثل فيسبوك بتوفير حزمة برمجية تسمح بتسجيل الدخول باستخدام حساب فيسبوك، وهذا يعني أن أي تطبيق يوفّر أزرارا لتسجيل الدخول باستخدام حسابات فيسبوك، أو تويتر، أو غوغل، يُرسل بشكل افتراضي بيانات المُستخدم لتلك الشركات، التي تنتفع بدورها منها وتضع خصوصيّة المُستخدم على المحكّ. لكن خطورة تلك الحزم البرمجيّة لا تقف هنا، فهي قادرة في بعض الأوقات على الوصول إلى رسائل المُستخدم، أو للأسماء المُخزّنة على الهاتف، أو حتى للصور والمواقع الجغرافية التي يقوم بزيارتها، لتُصبح أدوات تجسّس احترافية تنتقل مع المُستخدم أينما ذهب، وتتنصّت على مُحادثاته دون علمه. ولزيادة الطين بِلّة، فإن تلك الحزم مُستخدمة في مجموعة مُختلفة من التطبيقات، فالتهديد هنا ليس من تطبيق واحد، بل من عشرات التطبيقات.
وبحسب الإحصائيات، فإن 77? من أشهر 200 تطبيق في متجر آبل تستخدم حزمة غوغل للإعلانات، و70? منها تستخدم حزمة فيسبوك، بينما تعتمد 67? منها على حزمة "بولتس" (Bolts) من فيسبوك أيضا. أما في متجر تطبيقات أندرويد، فـ 75? من أشهر 200 تطبيق تعتمد على خدمات "فايربيز" (Firebase) السحابيّة من غوغل، بينما تعتمد 65? منها على حزمة فيسبوك البرمجية، و64? منها على حزمة غوغل للإحصائيات(8). ما سبق يعني أن اتّهام فيسبوك بالتنصّت على مُحادثات المُستخدم لم يكن عبر تطبيقاتها الرسميّة فقط، بل يُمكن أن يكون في أي تطبيق يستخدم إحدى حزمها البرمجيّة(9).
فرضيات دون إثبات
يتحدّث الخُبراء الأمنيون غالبا عن السيناريوهات المُحتملة لاستخدام حزم برمجية من تطوير جهات لا تحترم خصوصيّة المُستخدم دون وجود انتهاك حقيقي على أرض الواقع، وهذا ما يجعل اتهامات مثل فتح كاميرا الهاتف أو الميكروفون دون علم المُستخدم مُجرّد فرضيات غير مُثبتة، على الأقل ضد شركات بحجم غوغل وفيسبوك. لكن في الوقت ذاته، التحايل على قوانين متاجر التطبيقات الصارمة مُمكن، وعبر طُرق توفّرها غوغل وآبل بالأساس؛ فهي تضع القفل وتوفّر المفاتيح.
بالوضع الطبيعي، تُجرى اختبارات شاملة على التطبيقات التي تُرسل إلى متاجر التطبيقات للتأكد من خلوّها من البرمجيات الخبيثة ومن كونها تطبيقات ذات وظيفة مُفيدة يحتاج المُستخدم إليها. وهذا يعني أن استخدام حزم برمجية من جهات مشبوهة أو ذات سمعة ضعيفة قد تمنع وصول التطبيق إلى المتجر، وبالتالي الحد من الأضرار المُحتملة. في بعض الأوقات قد تنجح تطبيقات خبيثة في الوصول إلى المتجر، لكن أنظمة الحماية تكتشف أمرها خلال ساعات قليلة لتخرج بأقل الضرر(10).
لكن تلك الشركات، أي آبل وغوغل، توفّر ما يُعرف بشهادات الأمان الخاصّة بالشركات، تُتيح للشركة تطوير تطبيق لاستخدامه من قِبل موظّفيها دون الحاجة إلى توفيره في متجر التطبيقات. وهذا يعني استخدام حزم برمجية مفتوحة دون قيود، وعدم الالتزام بقوانين متاجر التطبيقات لأنها تطبيقات ستُستخدم على نطاق ضيّق، وهنا تأتي خباثة الشركات على اختلاف أحجامها. وتجدر الإشارة هنا إلى أن الأجهزة الذكية لا تقوم بتشغيل أي تطبيق إذا لم يحمل شهادة أمان رسميّة صادرة من آبل أو غوغل(11). فيسبوك وغوغل قامتا سابقا بتطوير تطبيقات تنتهك خصوصيّة المُستخدم دون علمه. وتلك تطبيقات لم تتوفّر في المتجر بشكل رسمي، بل أعلنت الشركات أنها بغرض التجريب مُستغلّة شهادات أمان الشركات، وبالتالي عملت على أجهزة المُستخدمين دون مشاكل وقامت بتجاوزات لا يعلم بها إلا الله(12)(13).
مؤخّرا، عثر باحثون أمنيون في شركة "لوك آوت" (Lookout) على تطبيق خبيث يدّعي أنه لشركة اتصالات إيطاليّة لا يتوفّر في متجر التطبيقات. لكنّ القائمين عليه استغلّوا شهادة أمان الشركات وقاموا بنشره، وهو تطبيق قادر على سرقة سجل الأسماء، والصور، والرسائل الصوتية، دون نسيان إمكانية تشغيل الميكروفون عن بُعد دون علم المُستخدم، وهنا الحديث عن هواتف آيفون. في حين توفّرت نسخة مُماثلة قبل ذلك لمُستخدمي نظام أندرويد(14).
لا تتهاون الشركات التقنية -في الغالب- بخصوصية المُستخدم، إلا أنها تُركّز على جهة وتترك جهات أُخرى مفتوحة على مصراعيها تسمح لأي مُطوّر تعريض خصوصيّة المُستخدم للخطر. والمؤسف في ذلك هو عدم اعترافها بخطئها على العلن، فهي تكتفي بإيقاف عمل التطبيقات الخبيثة وبمعالجة المشاكل الموجودة في أنظمتها، وهو شيء جيّد لكنه لا يعكس الصورة الكاملة التي تؤكّد ضرورة تشديد الخناق على الحزم البرمجيّة المُستخدمة من قِبل المُطوّرين.