أستمع الى المقال

تكاد أن لا تُذكر جملة “انتهاك الخصوصية” إلا ويحضر تطبيق تيك توك في أذهاننا. ولم تأتِ هذه السمعة من العدم، فقد انتشرت في الآونة الأخيرة الكثير من الأخبار والأبحاث والتقارير، التي تتحدث عن انتهاك خصوصية المستخدمين وجمع بياناتهم من قبل تطبيق تيك توك، وكان آخرها فضيحة انتهاك خصوصية مستخدمي التطبيق في الولايات المتحدة التي تحدثنا عنها سابقًا في تقرير مفصل.

لم يكن كل ذلك حكراً على تطبيق تيك توك، فقد كشف تقرير نُشر من قِبل فيليكس كراوس، وهو باحث في مجال الخصوصية، ومهندس سابق في شركة جوجل، أن تيك توك وميتا يقومان بمراقبة ما يكتبه وينقره مستخدمو تطبيقاتهم، عن طريق حقن أكواد جافا سكربت في المتصفح المدمج بتطبيقاتهم (In-App Browser). وما يجعل هذا التقرير بالغ الأهمية، هو أنه يوضح كيف أن هذه الطريقة يتم استخدامها من قِبل العديد من تطبيقات نظام iOS، الذي تتباهى شركة آبل بمدى حصانته وحفاظه على الخصوصية.

الأداة المستخدمة لكشف الأكواد

وفق التقرير تم استخدام أداة بسيطة لكشف الأكواد المحقونة، وهي عبارة عن موقع الويب InAppBrowser.com الذي يقوم بعرض أوامر جافا سكربت المنفذة بواسطة تطبيقات iOS. وتم تصميم ذلك الموقع  مفتوحاً للجميع، من أجل توفير إمكانية التحقق مما تفعله التطبيقات داخل المتصفحات المدمجة بها.

 ولتجربة هذه الأداة يمكن للمستخدم فتح التطبيق المراد تحليله والدخول إلى الموقع https://InAppBrowser.com  من خلال المتصفح المدمج بذلك التطبيق.

على سبيل المثال يمكن إرسال هذا الرابط إلى شخصٍ ما من خلال تطبيق ماسنجر فيسبوك، وبعد الضغط على الرابط المرسل، سيقوم الموقع بإعطاء المستخدم تقريرًا يوضح فيه أكواد جافا سكربت التي يستخدمها التطبيق.

جدول يوضح تطبيقات iOS التي تملك متصفحاً خاصاً بها

أكواد جافا سكربت المستخرجةتعديل محتوى الصفحةإمكانية فتح المتصفح الافتراضيالتطبيق
الرابطنعملاتيك توك
الرابطنعمنعمإنستغرام
الرابطنعمنعمماسنجر فيسبوك
الرابطنعمنعمفيسبوك
الرابطلانعمأمازون
لا يوجد حاليًالانعمسناب شات

جدول يوضح تطبيقات iOS الآمنة لعدم إمكانية حقنها بأكواد جافا سكربت. إضافة إلى المتصفح الذي تستخدمه تلك التطبيقات:

المتصفح المستخدمالتطبيق
SFSafariViewControllerتويتر
SFSafariViewControllerريديت
المتصفح الافتراضيواتساب
SFSafariViewControllerخرائط جوجل
المتصفح الافتراضييوتيوب
المتصفح الافتراضيجي ميل
SFSafariViewControllerتيليجرام
SFSafariViewControllerسيجنال
المتصفح الافتراضيسبوتيفاي
SFSafariViewControllerفينمو
المتصفح الافتراضيمايكروسوفت تيمز
المتصفح الافتراضي أو متصفح Edgeمايكروسوفت آوت لوك
المتصفح الافتراضيمايكروسوفت ون نوت
المتصفح الافتراضيتويتش

مراقبة تيك توك لإدخالات لوحة المفاتيح ونقرات المستخدمين

بحسب ما جاء في تقرير كراوس، عندما يفتح شخص ما أي رابط على تطبيق تيك توك في نظام iOS، يتم فتح الرابط داخل المتصفح المدمج بالتطبيق. وأثناء تفاعل الشخص مع موقع الويب، يكون تيك توك قادراً على رؤية جميع مدخلات لوحة المفاتيح، بما في ذلك كلمات المرور، ومعلومات بطاقة الائتمان، وكل نقرة على الشاشة.  

تذكر جين مانشون وونغ، وهي مهندسة برمجيات مستقلة، وباحثة أمنية تدرس تفاصيل الميزات الجديدة للتطبيقات، في حديثها مع صحيفة نيويورك تايمز، ‏بأنه استنادًا إلى نتائج كراوس، فإن الطريقة التي يراقب بها متصفح تطبيق تيك توك المدمج ضغطات المفاتيح تعد مشكلة كبيرة، حيث يمكن للتطبيق استخراج البيانات الحساسة للمستخدمين، الذين سيجدون ذلك بمثابة تجاوز صارخ لحقوقهم.

ردّ تيك توك على تقرير كراوس في تغريدة على حسابه الرسمي في تويتر، بالقول إن استنتاجات التقرير حول التطبيق “غير صحيحة ومضللة”، حيث على عكس الادعاءات المذكورة، فإن التطبيق “لا يستخدم أكواد جافا سكربت ليقوم بجمع بيانات عن المدخلات النصية أو عن الأزرار التي ينقرها المستخدم”، إذ تُستخدم الأكواد فقط “لاستكشاف الأخطاء وإصلاحها ومراقبة أداء التطبيق”.

ميتا وأكواد الجافا سكربت

يشير تقرير كراوس إلى أن تطبيق إنستغرام في نظام iOS  أيضًا يقوم بعرض روابط مواقع الويب داخل متصفح التطبيق المدمج، ومن ثم يقوم بحقن أكواد جافا سكربت في كل موقع ويب يعرَض على متصفحها. ويسمح هذا الفعل لإنستغرام بمراقبة كل ما يحدث في هذه المواقع، دون موافقة المستخدم أو مزود الموقع. وعلى الرغم من أن هذه الأكواد لا تقوم بذلك حاليًا، لكن وجودها على مواقع الويب التابعة لجهات خارجية يعطي إنستغرام المقدرة لمراقبة جميع تفاعلات المستخدم.

غرد آندي ستون، مدير العلاقات في شركة ميتا، على حسابه الرسمي في تويتر، أن ميتا تقوم بحقن هذه الأكواد بشكل متوافق مع ميزة شفافية تتبع التطبيقات التي أطلقتها آبل. موضحًا في تغريدة أخرى بأن أكواد جافا سكربت المُحقنة تسمح للشركة باحترام خصوصية المستخدمين؛ حيث إنها تقوم بجمع بيانات تفاعل المستخدمين (مثل إجراء عملية شراء عبر الإنترنت)، من جزئيات صغيرة من الكود موجودة سابقًا على مواقع الويب، وظيفتها هي جمع هذه البيانات، وذلك لأغراض أخرى كالأغراض الإعلانية.

لم ينته الأمر هنا، حيث إن مخاطر المتصفّح المدمج تترافق بالعديد من المضايقات، مثل عدم قدرة المستخدم على استخدام إضافات المتصفحات، إضافات منع الإعلانات مثلا. كما هناك احتمالية إخفاء المتصفح حالةَ تشفير الـ HTTP، أو حتى عدم تحذير المستخدم من مواقع الويب غير المشفرة أو المشبوهة. كما تجدر الإشارة أيضًا إلى أنه على الرغم من ادعاء شركة ميتا حرصها على احترام قرارات خصوصية المستخدمين، فإن تطبيقات الشركة التي تعمل على نظام التشغيل iOS لا توفر أي طريقة لإلغاء حقن هذه الأكواد عند استخدام متصفحها المدمج.

الجدير بالذكر أن موقع The Register، وهو موقع متخصص في أخبار التكنولوجيا، طلب من المتحدث الرسمي باسم ميتا أن يجيب على سؤالين أولهما: كيف يمكن لعملية حقن الأكواد في المتصفح المدمج بالتطبيق، أن تحترم خيارات خصوصية المستخدمين، إذا كانت هذه الأكواد تساعد في تتبع المستخدمين؟ والثاني: لماذا لا يُسمح للمستخدمين بفتح صفحات الويب عبر المتصفح المفضل لديهم، أو باستخدام متصفح آبل الافتراضي سفاري؟. إلا أن هذه الأسئلة لم تتلقّى حتى الآن أي رد.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.