מיליוני אנשים ברחבי העולם משתמשים מדי יום באפליקציות הסמארטפון הפופולריות ביותר, אבל חקירה חדשה שנערכה על ידי מומחי אבטחת סייבר חושפת מציאות מדאיגה: אפליקציות ש"רעבות למידע" כמו פייסבוק ואינסטגרם, שמבקשות גישה למידע האישי של המשתמשים.
מומחים מארגון הצרכנות הבריטי ״Which?״ חקרו 20 אפליקציות פופולריות בקטגוריות שונות - רשתות חברתיות, קניות מקוונות, כושר ובית חכם - וגילו ממצאים מדאיגים. כל האפליקציות שנבדקו מבקשות הרשאות "מסוכנות" כמו גישה למיקום המשתמש, למיקרופון ולקבצים שמורים במכשיר, גם כאשר אין להן צורך אמיתי בגישה זו.
האפליקציות שנבדקו במחקר כוללות את WhatsApp, Facebook, Instagram, TikTok ו-YouTube מקטגוריית רשתות חברתיות, Amazon, AliExpress ו-Temu מקטגוריית קניות מקוונות, Samsung SmartThings, Ring Doorbell ו-Xiaomi Home מקטגוריית בית חכם, Strava ו-MyFitnessPal מקטגוריית כושר, בנוסף ל-Impulse - סה"כ 14 אפליקציות שהוזכרו בשמותיהן מתוך 20 אפליקציות שנבדקו במחקר, כאשר 6 האפליקציות הנוספות לא פורטו.
בין אפליקציות הרשתות החברתיות, פייסבוק של מטא זוהתה כ"הכי להוטה למידע משתמשים" - היא דורשת את המספר הגבוה ביותר של הרשאות: 69 בסך הכל, מתוכן שש נחשבות "מסוכנות". וואטסאפ, גם בבעלות מטא, אינה נופלת ממנה ודורשת 66 הרשאות בסך הכל, שש מהן מסוכנות.
החקירה, שנערכה בשיתוף עם מומחי חברת אבטחת הסייבר Hexiosec, בדקה אפליקציות הכוללות כמה מהשמות הגדולים בעולם הטכנולוגי: וואטסאפ, פייסבוק, אינסטגרם, טיקטוק, אמזון, עליאקספרס ועוד.
הנתונים מדברים בעד עצמם: יחד, 20 האפליקציות הורדו יותר מ-28 מיליארד פעמים ברחבי העולם. לאדם ממוצע יש כנראה כמה מהן בטלפון בכל זמן נתון. אם מישהו היה מוריד את כל 20 האפליקציות במכשיר שלו, ביחד הן היו מעניקות 882 הרשאות מדהימות - מה שעלול לתת גישה לכמויות עצומות של מידע אישי.
האפליקציה הסינית Xiaomi Home זוהתה כתובעת הכי הרבה הרשאות - 91 בסך הכל, חמש מהן מתוארות כ"מסוכנות". אפליקציית Smart Things של סמסונג ביקשה 82 הרשאות (מתוכן שמונה מסוכנות), בעוד אינסטגרם של מטא ביקשה 56 הרשאות בסך הכל, ארבע מהן נחשבות "מסוכנות".
טיקטוק ביקשה 41 הרשאות, כולל שלוש מסוכנות - היכולת להקליט אודיו ולראות קבצים במכשיר. יוטיוב ביקשה 47 הרשאות, ארבע מהן "מסוכנות". עליאקספרס ביקשה שש הרשאות מסוכנות, כולל מיקום מדויק, גישה למיקרופונים וקריאת קבצים במכשיר.
הבעיה מחמירה כאשר מתגלה שלא תמיד יש הצדקה ברורה לדרישת ההרשאות הללו. שלוש אפליקציות - עליאקספרס, פייסבוק, וואטסאפ - ביקשו אף הרשאה לראות אילו אפליקציות אחרות נעשה בהן שימוש לאחרונה או פועלות כרגע במכשיר.
עוד ממצא מדאיג: 16 מתוך 20 האפליקציות ביקשו הרשאה שמאפשרת להן ליצור חלונות קופצים בטלפון, גם אם המשתמש בחר לא לקבל התראות מהאפליקציה. שבע אפליקציות אף ביקשו הרשאה להתחיל לפעול אוטומטית כשהמשתמש פותח את הטלפון, גם אם הוא עדיין לא פתח אותן בעצמו.
מקרה מיוחד לדאגה הוא שליחת הנתונים לסין. עליאקספרס זוהתה כאחת משתי האפליקציות (לצד שיאומי) ששולחות נתונים לסין, כולל לרשתות פרסום חשודות. עליאקספרס גם הפציצה משתמשים ב-30 אימיילי שיווק במהלך חודש בלבד אחרי ההורדה, אך החוקרים לא מצאו בקשת הרשאה ספציפית לשלוח את כל האימיילים הללו.
טמו, אפליקציית קניות אחרת בבעלות סינית, גם דחפה את האמצעות להירשם לתוכן שיוויקי באימייל - דבר שמשתמשים רבים יכולים להסכים אליו בקלות מבלי להבין למה הם מסכימים, נימקו המומחים.
רוז הדגיש: "המחקר שלנו מדגיש למה כל כך חשוב לבדוק למה אתם מסכימים כשאתם מורידים אפליקציה חדשה. כולנו צריכים להיות זהירים יותר מללחוץ 'כן' על הרשאות כשאנחנו ב'טייס אוטומטי' מנטלית בלי באמת להיות מודעים למה אנחנו מסכימים."
החקירה נערכה על מכשיר אנדרואיד והרשאות עלולות להשתנות במכשירי iOS של אפל. הממצאים המלאים זמינים באתר Which?
התרעות פיקוד העורף