A felhasználók legszemélyesebb adatainak egy részét tároló okostelefonos névjegyzékekkel lényegében tetszésük szerint bánhatnak a mobilalkalmazások fejlesztői – gyakran anélkül, hogy erről a telefonok tulajdonosai tudnának. Azok a cégek, amelyek számos népszerű okostelefonos alkalmazást készítenek az Apple- vagy az Android-platformra – köztük a Twittert, a Foursquare-t és az Instagramot -, rutinszerűen gyűjtik össze a készülékek személyes címjegyzékeiben található információkat, és olykor ezeket el is raktározzák saját számítógépeiken. Ez ellen az iparági „legjobb gyakorlatnak” tekintett módszer ellen többen is szót emeltek a tengerentúlon, és február közepén egy kongresszusi tagokból álló bizottság is tüzetes vizsgálatnak vetette alá — írja a minuszos.hu.
A bizottság az Apple-nek küldött levelében azt firtatta, hogy miként férhettek hozzá az appek a felhasználók címjegyzékadataihoz azok engedélye nélkül. A cupertinói cég – amelynek előzetes jóváhagyása szükséges ahhoz, hogy egy alkalmazás megjelenhessen az iTunes kínálatában – a törvényhozókhoz intézett válaszában vitatta a testületi kérdésben megfogalmazódó állítást, mondván, hogy az appekre vonatkozóan kiadott szabályzata kifejezetten tiltja a gyakorlatot.
Arra azonban nem adott választ a cég, hogy miként engedélyezték az ilyen – lényegében illegálisan címjegyzékadatokat gyűjtő – alkalmazások forgalmazását. Tom Neumayr, az Apple egyik szóvivője a kiadott nyilatkozatban úgy fogalmazott, hogy azok az appek, amelyek előzetes engedély nélkül felhasználói adatokat gyűjtenek vagy továbbítanak, megszegik kiadott irányelveiket. A jövőben – az új kiadású szoftver környezetében – viszont csak azok az alkalmazások férhetnek hozzá a személyes adatokhoz, amelyek erre egyértelmű felhasználói jóváhagyást kapnak.
Az Egyesült Államokban a Szövetségi Kereskedelmi Bizottság (Federal Trade Commission) szabályozza a személyes információk kezelését az interneten, és a múltban több alkalommal is szankcionálta a nagy cégek – köztük a Facebook és a Google – adatfelhasználási gyakorlatát, az okostelefonos appek hasonló eljárásmódját azonban nem kommentálta.
Miközben az Apple azt hangoztatja, hogy tiltja a szabályait megszegő módon működő appeket, az iPhone-ok, az iPadek és az iPodok legnépszerűbb alkalmazásai közül néhánynál – mint a Yelp, a Gowalla, a Hipster és a Foodspotting – a jelek szerint szemet huny, amikor azok a felhasználók tudta nélkül használják a személyes adatokat.
Csak beleegyezéssel!
Az Android mobil-operációsrendszert fejlesztő Google ugyanakkor rákényszeríti a fejlesztőket arra, hogy minden alkalommal előzetesen engedélyt kelljen kérni egy ilyen információhoz való hozzáféréskor.
Az appgyártók azért gyűjtik az adatokat, hogy elősegítsék az adott programot igénybe vevő felhasználói hálózat minél gyorsabb kiépülését. Az engedély nélküli adatkezelés akkor – február elején – került először a reflektorfénybe, amikor egy fejlesztő észrevette, hogy a Path nevű mobilos közösségi oldal a felhasználók tudta nélkül egész címjegyzékeket töltött fel a szervereire. A cég azóta vállalta, hogy felhagy a gyakorlattal, és megsemmisíti az eddig összegyűjtött adatokat.
De aligha a Path az egyetlen olyan mobilalkalmazás, amelyik címjegyzékeket gyűjt. Tavaly februárban a mobilbiztonsággal foglalkozó Lookout nevű cég azt tapasztalta, hogy az Apple iTunesában fellelhető ingyenes alkalmazások 11 százaléka rendelkezett olyan képességgel, amellyel hozzáférhetett felhasználói adatokhoz. Most pedig a VentureBeat nevű technológiai adta hírül, hogy az Apple eszközeihez készült több tucat alkalmazás furakodott be le engedély nélkül a felhasználók címjegyzékeibe.
E vizsgálatok révén még inkább a reflektorfénybe került, hogy a technológiai cégek előszeretettel kutakodnak felhatalmazás nélkül a felhasználók személyes adataiban. Tavaly év közben a Color nevű mobilalkalmazás sokkolta a felhasználókat, amikor engedély nélkül aktiválta készülékeik mikrofonjait, decemberben pedig a Carrier IQ nevű mobilcéget vádolták meg a személyiségi jogok megsértésével: egy programozó felfedezte, hogy a cég követő szoftvere rögzítette a billentyűleütéseket, különböző telefonszámokat tárcsázott, SMS-eket küldött, sőt titkosított internetes kereséseket is folytatott – mintegy 140 millió okostelefonon.
Veszélyes játékok
„Eljött az ideje, hogy az appek fejlesztői felelősséget vállaljanak: a felhasználóknak tudniuk kell róla, hogy mi történik velük, amikor például játszani kezdenek készülékükön valamilyen alkalmazással” – nyilatkozta a The New York Timesnak adott interjúban Jules Polonetsky, a Privacy Forum Future igazgatója.
Néhány fejlesztő igyekszik megfogadni a tanácsokat, és változtat appjein, mielőtt az Apple és a kongresszusi bizottság fellépne ellenük. A Path és a Hipster már frissítette is az alkalmazásokat, így azok figyelmeztetik a felhasználókat a személyes információk gyűjtésére. A frissítések arra is lehetőséget nyújtanak a felhasználóknak, hogy leállítsák a címjegyzékeikben található információk megosztását. A Path és a Hipster példáját az Instagram nevű népszerű fotómegosztó alkalmazás is követte: kiegészítette az appet egy, a felhasználók beleegyezését kérő parancssorral.
Egy Twitter-appen belül, amikor a felhasználók a Find Friends opciót választják, a cég akár másfél éven át is tárolhatja a névjegyzékeikben található adatokat. A frissen keletkezett vihar láttán nem is késlekedtek a bejelentéssel: a rövidesen megjelenő frissített appben még egyértelműbben megfogalmazzák a felhasználók számára, mivel jár számukra a Find Friends engedélyezése.
Carolyn Penner, a Twitter egyik szóvivője sem késlekedett a nyilatkozattal. „Az adatokat biztonságosan tároljuk és továbbítjuk. A címjegyzék-információk titkosítva vannak, amikor elküldjük őket a mobiltelefonokról a szervereinkre. Az adatokat ugyanolyan biztonsági szinten titkosítjuk, mint az előfizetői információkat” – állította.
A botránysorozat kirobbanásakor egy fejlesztő felfedezte, hogy amikor egy előfizető bejelentkezik a Foursquare-re, a cég figyelmeztetés nélkül használja a címjegyzékét. Válaszában a Foursquare is a szokásos módon fogalmazott: készül a frissítés az apphez, és utána már minden szabályszerűen történik majd. Ugyanakkor Erin Gleason, a cég kommunikációs igazgatója egy e-mailben kijelentette, hogy nem tárolják a felhasználók címjegyzék-információit. „Amikor valaki barátok után kutat a Foursquare-en, a cég csupán titkosított csatornákon továbbítja a címjegyzék-információkat, és egy bizonyos határon túl nem tárolja azokat” – fogalmazott.
A VentureBeat arról számolt be, hogy egyes bűnözők is könnyen kihasználhatják, ha nincsenek megfelelő szinten védve az okostelefonokról összegyűjtött adatok. Azt tapasztalták, hogy a Foodspotting nevű gasztronómiai fotómegosztó alkalmazás olyan titkosítatlan csatornán továbbította a felhasználók adatait, amelyekhez bárki könnyen hozzáférhet.
Csak a hitelkártyaadat kényes?
Erre a vádra Alexa Andrzejewski, a Foodspotting vezérigazgatója e-mailben reagált. Véleménye szerint annak a kockázata, hogy a felhasználók kapcsolatainak információit nem titkosítják, elenyésző egy olyan weboldal esetében, amelyikhez nem kapcsolódnak hitelkártya- vagy más kényes információk. Mindazonáltal megjegyezte, hogy frissítéskor további biztonsági elemeket is beépítenek az alkalmazásba.
A Google-nek megvannak az Android platformba beépített eszközei, amelyek arra kényszerítik a fejlesztőket, hogy értesítsék a felhasználókat, ha valamilyen adatukhoz hozzáférés szükséges. Amint viszont birtokukban van a felhasználói jóváhagyás, az Android-fejlesztők már bármivel gazdálkodhatnak: a telefon tulajdonosának híváslistájától a szöveges üzenetekig. Sok app – a Hipstertől a Locale-en, Uberen, Yelpen, Taxi Magicen, Picplzen, Scrabble-en át egészen a Waze-ig – felhasználója ugyanakkor gyakran nincs tudatában, hogy az információt miként fogják felhasználni, vagy hogy a vállalat meddig tervezi annak tárolását.
„A rosszindulatú használat a legálistól csupán a meglepetés erejében különbözik. Ha pedig egy felhasználó meglepődik valamin, abból már könnyen gond származhat” – figyelmeztetett Kevin Mahaffey, a Lookout technológiai vezetője, aki szerint még mindig – több szempontból is – vitatott az okostelefonokon lévő adatok szabványos használata és annak szabályozása. Úgy véli, hogy mivel vadonatúj az iparág, gyakran tapasztalhatók még „vadnyugati” viszonyok.
