أسبوع الأمن 30: الخصوصية والتكنولوجيا والمجتمع

12 يوليو ، لم تؤكد الصحافة رسميًا بعد التقارير التي تفيد بأن Facebook ذهب إلى اتفاق مع لجنة التجارة الفيدرالية الأمريكية بشأن تسرب معلومات المستخدم. كان الموضوع الرئيسي لاستقصاء FTC هو تصرفات Cambridge Analytica ، التي استلمت في عام 2015 بيانات من عشرات الملايين من مستخدمي Facebook. يتم اتهام Facebook بعدم كفاية حماية خصوصية المستخدم ، وإذا تم تأكيد الرسائل ، فإن الشبكة الاجتماعية ستدفع لمفوضية الدولة الأمريكية أكبر غرامة في التاريخ بقيمة 5 مليارات دولار.

تعتبر فضيحة Facebook و Cambridge Analytica الأولى ، لكن بأي حال من الأحوال المثال الأخير لمناقشة المشكلات التقنية بطرق غير تقنية تمامًا. في هذا الملخص سوف نلقي نظرة على بعض الأمثلة الحديثة لمثل هذه المناقشات. بشكل أكثر تحديدًا ، كيف تتم مناقشة مشكلات خصوصية المستخدم دون النظر إلى الميزات المحددة لتشغيل خدمات الشبكة.

مثال واحد: جوجل reCaptcha v3


تم تقديم الإصدار الجديد من أداة التحكم في Google bot reCaptcha v3 في أكتوبر 2018 . تميز الإصدار الأول من "captcha" من Google بروبوتات مميزة عن أشخاص في التعرف على النص. غير الإصدار الثاني النص إلى صور ، ثم - أظهرها فقط لأولئك الذين تعتبرهم مشبوهة.


لا يطلب الإصدار الثالث أي شيء ، ويعتمد بشكل أساسي على تحليل سلوك المستخدم على موقع الويب. يتم تعيين تصنيف محدد لكل زائر ، بناءً على ما إذا كان مالك الموقع يمكنه ، على سبيل المثال ، فرض طلب تفويض عبر الهاتف المحمول إذا اعتبر تسجيل الدخول مريبًا. كل شيء يبدو على ما يرام ، ولكن ليس تماما. في 27 يونيو ، نشر منشور شركة Fast Company مقالة طويلة ، حيث يشير إلى اثنين من الباحثين ، حيث يحدد مجالات المشاكل في reCaptcha v3 من حيث الخصوصية.

أولاً ، عند تحليل أحدث إصدار من اختبار CAPTCHA ، وجد أن المستخدمين الذين قاموا بتسجيل الدخول إلى حساب Google ، بحكم تعريفه ، يحصلون على تصنيف أعلى. وبالمثل ، إذا فتحت موقعًا عبر شبكة VPN أو شبكة Tor ، فمن المرجح أن يتم تمييزك كزائر مشبوه. أخيرًا ، توصي Google بتثبيت reCaptcha على جميع صفحات الموقع (وليس فقط الصفحات التي تحتاج إلى التحقق من المستخدم). هذا يعطي المزيد من المعلومات حول سلوك المستخدم. لكن هذه الميزة نفسها توفر نظريًا لـ Google كمية كبيرة من المعلومات حول سلوك المستخدم على مئات الآلاف من المواقع (وفقًا لشركة Fast Company ، يتم تثبيت reCaptcha v3 على 650 ألف موقع ، ويستخدم عدة ملايين الإصدارات السابقة).

هذا مثال نموذجي على مناقشة غامضة للتكنولوجيات: فمن ناحية ، كلما زاد عدد البيانات التي ستوفرها أداة مفيدة لمحاربة برامج الروبوت ، كان ذلك أفضل لكلٍّ من مالكي المواقع والمستخدمين. من ناحية أخرى ، يحصل مزود الخدمة على إمكانية الوصول إلى مجموعة كبيرة من البيانات ، وفي الوقت نفسه يتحكم في من يجب قبوله في البيانات الرقمية على الفور ومن يجعل الحياة صعبة. من الواضح أن المدافعين عن أقصى قدر من الخصوصية ، الذين يحاولون عدم الاحتفاظ بملفات تعريف الارتباط غير الضرورية في متصفحهم ، وباستخدام الشبكات الافتراضية الخاصة باستمرار ، لا يحبون هذا التقدم على الإطلاق. من وجهة نظر Google ، لا توجد مشكلة: تدعي الشركة أن البيانات "captcha" لا تُستخدم في استهداف الإعلانات ، وأن تعقيد الحياة بالنسبة لبرامج تشغيل الروبوت هو سبب وجيه لهذه الابتكارات.

المثال الثاني: الوصول إلى البيانات في تطبيقات Android

في نهاية يونيو ، عقدت نفس لجنة التجارة الفيدرالية الأمريكية مؤتمرا PrivacyCon. تم تكريس تقرير الباحث سيرج إجلمان لكيفية تجاوز مطوري التطبيقات لنظام أندرويد لقيود النظام وتلقي البيانات التي لا ينبغي تلقيها من الناحية النظرية. في دراسة علمية ، تم تحليل 88 ألف تطبيق من متجر Google Play الأمريكي ، منها 1325 تمكنوا من الالتفاف على قيود النظام.

كيف يفعلون ذلك؟ على سبيل المثال ، يحصل تطبيق Shutterfly لمعالجة الصور على حق الوصول إلى بيانات تحديد الموقع الجغرافي ، حتى لو كان المستخدم يمنعهم من القيام بذلك. الأمر بسيط: يعالج التطبيق العلامات الجغرافية المخزنة في الصور التي يكون الوصول إليها مفتوحًا. يعلق ممثل المطور بشكل معقول على أن معالجة العلامات الجغرافية هي وظيفة قياسية للبرنامج المستخدم لفرز الصور. تجاوز عدد من التطبيقات الحظر المفروض على الوصول إلى الموقع الجغرافي عن طريق مسح عناوين MAC لأقرب نقاط Wi-Fi وبالتالي تحديد الموقع التقريبي للمستخدم.



تم اكتشاف طريقة "إجرامية" أكثر قليلاً للتحايل على القيود في 13 تطبيقًا: يمكن لأحد التطبيقات الوصول إلى IMEI للهاتف الذكي. يقوم بحفظه في بطاقة ذاكرة ، حيث يمكن للبرامج الأخرى التي لا تستطيع الوصول قراءتها. لذلك ، على سبيل المثال ، هناك شبكة إعلانية واحدة من الصين تعمل ، حيث يتم تضمين SDK في رمز التطبيقات الأخرى. يتيح لك الوصول إلى IMEI تحديد المستخدم بشكل فريد لاستهداف الإعلانات اللاحقة. بالمناسبة ، ترتبط دراسة أخرى بوصول عالمي إلى البيانات الموجودة على بطاقة الذاكرة: تم الكشف عن الاحتمال (النظري) لاستبدال ملفات الوسائط عند الاتصال في مراسلة Telegram و Whatsapp. نتيجةً لذلك ، سيتم تشديد قواعد الوصول إلى البيانات في الإصدار الجديد من Android Q.

المثال الثالث: معرفات Facebook بالصور


قبل بضع سنوات ، يمكن أن تؤدي هذه التغريدة ، في أحسن الأحوال ، إلى مناقشة تقنية لبضع عشرات المنشورات ، ولكن منشورات مدونة Forbes الآن تكتب عنها. منذ عام 2014 على الأقل ، أضاف Facebook معرفاته الخاصة إلى بيانات IPTC الأولية للصور التي تم تحميلها على Facebook نفسه أو إلى شبكة Instagram الاجتماعية. تتم مناقشة معرفات Facebook بمزيد من التفاصيل هنا ، ولكن لا أحد يعرف بالضبط كيف تستخدمها الشبكة الاجتماعية.

بالنظر إلى خلفية الأخبار السلبية ، يمكن تفسير هذا السلوك على أنه "طريقة أخرى لمراقبة المستخدمين ، ولكن ما يمكن أن يكون عليه الأمر". ولكن في الواقع ، يمكن استخدام معرفات البيانات الأولية ، على سبيل المثال ، لحظر السجاد من المحتوى غير القانوني ، ويمكنك حظر ليس فقط إعادة النشر داخل الشبكة ، ولكن أيضًا البرامج النصية "تنزيل الصورة وتحميلها مرة أخرى". قد تكون هذه الوظيفة مفيدة.

مشكلة المناقشة العامة لقضايا الخصوصية هي أن الميزات التقنية الحقيقية للخدمة غالباً ما يتم تجاهلها. المثال الأكثر وضوحًا: مناقشة backdoors الحكومية في أنظمة التشفير للمراسلين الفوريين أو البيانات الموجودة على جهاز كمبيوتر أو هاتف ذكي. يتحدث المهتمون بالوصول الخالي من المتاعب إلى البيانات المشفرة عن مكافحة الجريمة. جادل خبراء التشفير بأن التشفير لا يعمل بهذه الطريقة ، وأن الضعف المتعمد لخوارزميات التشفير سيجعلها عرضة للجميع . لكننا نتحدث على الأقل عن نظام علمي عمره عدة عقود.

ما هي الخصوصية ، ونوع التحكم في بياناتنا ضروري ، وكيفية مراقبة الامتثال لهذه المعايير - لا توجد إجابة عامة واضحة لجميع هذه الأسئلة. في جميع الأمثلة في هذا المنشور ، يتم جمع بياناتنا لبعض الوظائف المفيدة ، ومع ذلك ، فإن هذه الميزة ليست دائمًا للمستخدم النهائي (في كثير من الأحيان للمعلن). ولكن عندما تنظر إلى الاختناقات المرورية في طريقك إلى المنزل ، فإن هذا أيضًا نتيجة لجمع البيانات عنك ومئات الآلاف من الأشخاص الآخرين.

لا أريد إنهاء المنشور باستنتاج غبي "ليس بهذه البساطة" ، لذلك دعونا نجرب بهذه الطريقة: كلما زاد الأمر ، سيتعين على مطوري البرامج والأجهزة والخدمات حل المشكلات التقنية ("كيفية جعلها تعمل" فقط) ، ولكن أيضًا اجتماعيًا سياسي ("كيف لا تدفع الغرامات ، لا تقرأ لنفسك مقالات غاضبة في وسائل الإعلام ولا تفقد المنافسة مع الشركات الأخرى حيث يوجد المزيد من الخصوصية على الأقل بالكلمات"). كيف ستتغير الصناعة في هذا الواقع الجديد؟ هل سيكون لدينا المزيد من السيطرة على البيانات؟ هل سيتباطأ تطوير التقنيات الجديدة بسبب "الضغط العام" ، الذي يتطلب إنفاق الوقت والموارد؟ هذا التطور سوف نلاحظه.

إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.