گزارش VICE از پشت پرده اپلیکیشن های خدماتی موبایل
نویسنده: جوزف کاکس (Joseph Cox)
رسانه ی آمریکایی VICE در گزارشی تحقیقی از این واقعیت پرده بردای کرده است که ارتش امریکا ریزترین دادههای مکانی کاربران اپلیکیشن های موبایل در سراسر دنیا ، به ویژه مسلمانان را می خرد و تصاحب می کند.
این دادهها از اپلیکیشنهای معمولی و بهظاهر بیخطر گردآوری شدهاند. یکی از معروفتریناین اپلیکیشن ها ، یک اپلیکیشن مربوط به نماز و قرآن مسلمانان به نام «مسلمان پرو» است که بیش از ۹۸میلیون دانلود در سراسر جهان دارد. یک اپلیکیشن دوستیابی ایران سوشال (Iran Social) ، اپلیکیشن همسریابی و دوستیابی مازلم مینگل (Muslim Mingle) ،اپلیکیشن گامشمار اکوپِدو (Accupedo) ، اپلیکیشنی معروف از سایت کریگزلیست، اپلیکیشنی برای دنبالکردن اخبار آب و هوا وطوفانها و اپلیکیشن (Bubble level) برای کمک به ترازکردن (مثلاً موقع نصب طاقچههای اتاق خواب) از دیگر اپلیکیشنهای این فهرست هستند.
بسیاری از کاربران اپلیکیشنهایی که در این زنجیرۀ تامین داده وجود دارند، مسلمان هستند.
شرکت ثالث X-Mode که گفته میشود اطلاعات را به پنتاگون فروخته است، میگوید قراردادهای نظامیاش عمدتا بر سه محور «ضدتروریسم، امنیت سایبری و پیشبینی مکانهای شیوع ویروس کرونا» متمرکز است.
از طریق دادههای بایگانیشدۀ در دسترس عموم، مصاحبه با توسعهدهندگان اپلیکیشنها و تحلیلهای فنی، مادربورد از دو جریان دادهایِ مجزا و موازی پرده برداشت که ارتش ایالات متحده از آنها استفاده میکند یا کرده است تا دادههای موقعیت مکانی (لوکیشن) را به دست بیاورد. یکی از این جریانها به شرکتی به نامِ بابِل استریت (خیابان بابل) وابسته است که محصولی با نام لوکِیت ایکس فرماندهی عملیاتهای ویژۀ ایالات متحده (USSOCOM) را تولید میکند. عملیاتهای ویژه از شاخههای ارتش است که وظیفهاش مقابله با تروریسم، مقابله با شورش و نیز شناسایی ویژه است. شاخۀ عملیاتهای ویژۀ ارتش، دسترسی به لوکیت ایکس را خریده است تا در عملیاتهای نیروهای ویژه در خارج از کشور یاریرسانش باشد. جریان دیگرِ فروش این دادهها از طریق شرکتی با نام ایکس-مود است که اطلاعات لوکیشن را مستقیماً از نرمافزارهای تلفن همراه به دست آورده و سپس آن دادهها را به پیمانکاران و بهواسطۀ آنها به ارتش آمریکا میفروشد.
این خبر بر ابهامِ صنعت دادههای موقعیت مکانی مهر تایید میزند. علاوه بر این، این حقیقت آشکارتر میشود که ارتش ایالات متحده که پیش از این بهخاطر استفاده از دادههای لوکیشن دیگران با قصدِ حملات پهبادی بدنام شده بود، دسترسی به دادههای حساس را میخرد. بسیاری از کاربران اپلیکیشنهایی که در این زنجیرۀ تامین داده وجود دارند، مسلمان هستند که وقتی این نکته جالب میشود که بدانیم ایالات متحده چندین دهه است در حال جنگ با گروه های اسلامی خاورمیانه است و صدها هزار شهروند را نیز طی عملیاتهای نظامیاش در پاکستان و افغانستان و عراق کشته است. مادربورد از هیچکدام از عملیاتهای خاصی که در آن ارتش ایالات متحده از این نوع دادههای موقعیت مکانی بر پایۀ اپلیکیشنها استفاده کرده است، اطلاعات ندارد.
یکی از اپلیکیشنهایی که دادهها را به ایکس-مود میفرستد اپلیکیشن مازلِم پِرو (Muslim Pro) است که به کاربر مسلمان، زمان اذان و جهت قبله را متناسب با موقعیت مکانیِ آن لحظۀ کاربر یادآوری میکند. طبق اطلاعات گوگل پلی استور، این اپلیکیشن بیش از ۵۰میلیون بار برای اندروید و طبق اطلاعات سایت مازلم پرو جمعاً بیش از ۹۸میلیون بار برای همۀ باقی پلتفرمها از جمله iOS دانلود شده است.
سایت مازلم پرو نوشته است: «معروفترین اپلیکیشن مسلمانان!» بهعلاوه، این اپلیکیشن متن و صوت تلاوت قرآن را نیز در خود دارد. یکی دیگر از اپلیکیشنهایی که دادههایش را برای ایکس-مود فرستاده بود، مازلم مینگِل (Muslim Mingle) است، اپلیکیشن همسریابی مسلمانان که بیش از صدهزار بار دانلود شده است.
برخی توسعهدهندگان اپلیکیشنها که مادربورد با آنها صحبت کرد، اطلاع نداشتند که در نهایت دادههای لوکیشن کاربرانشان به دست چه کسانی میرسد و حتی اگر کاربری بخش سیاستهای حفظ حریم خصوصی (privacy policy) را در این اپلیکیشنها بررسی کند، شاید در نهایت متوجه نشود که چگونه بسیاری از صنایع، شرکتها یا سازمانهای دولتیِ مختلف، برخی از حساسترین اطلاعات آنها را میخرند. خریداری چنین اطلاعاتی توسط مجریان قانون ایالات متحده سوالاتی را به وجود آورده است دربارۀ مسئولانی که با پول، راهِ رسیدن به اطلاعات موقعیت مکانیای را برای خود هموار میکنند که احتمالاً در حالت عادی برای دسترسی به چنین دادههایی باید حکم قانونی بگیرند. با وجود این، قراردادِ USSOCOM و گزارشهای افزون بر آن، اولین مدارکی است که نشان میدهد خرید دادههای موقعیت مکانی برای ایالات متحده از مجریان قانون فراتر رفته و به سازمانهای نظامی رسیده است.
طبق مدارکی که مادربورد فاش کرده است، USSOCOM دسترسی به لوکِیت ایکس، محصولی متعلق به شرکتی به نام بابِل استریت و مرتبط با دادههای لوکیشن، را خریده است. یکی از کارمندان سابقِ بابل استریت برای مادربورد توضیح داد که چگونه کاربرانِ این محصول میتوانند روی نقشه شکلی بکشند، همۀ دستگاههایی که در آن لوکیشن هستند و بابل استریت روی آنها دادههایی دارد را ببینند و سپس تاریخچۀ یک دستگاه خاص را بررسی کنند تا ببینند قبلاً در چه مکانهایی بوده است.
دادههای خودِ لوکیت ایکس ناشناساند اما این منبع آگاه گفت که «ما میتوانیم هویت یک فرد را کاملاً مشخص کنیم.» این کارمند سابق اضافه کرد که کارمندان بابل استریت «با این اطلاعات بازی میکنند، صادقانه بگویم».
طبق اسناد عمومی، USSOCOM در ماه آوریل «مجوزهای رسمیِ نرمافزاری اضافه» را برای دسترسی به لوکیت ایکس و دیگر محصولی که بر تحلیل متن متمرکز است و بابِل ایکس نام دارد، خریده است. این اسناد نشان میدهد که مجموعه ای از مجوزهای اضافه حدود ۹۰هزارو۶۰۰ دلار هزینه دارد.
در بیانیهای، تیم هاکینز، فرماندۀ نیروی دریایی و سخنگوی فرماندهی عملیاتهای ویژه، خریدِ لوکیت ایکس را تایید و اضافه کرد: «دسترسی ما به این نرمافزار برای کمک به مقتضیاتِ ماموریت نیروهای عملیاتهای ویژه در خارج از مرزهاست. ما سختگیرانه از فرآیندها و سیاستهای مقررشده برای حفظ حریم شخصی، آزادیهای مدنی، حقوق پیشبینیشده در قانون اساسی و حقوق قانونیِ شهروندان آمریکایی پیروی میکنیم.»
یکی از اسناد آنلاینِ بابِل استریت میگوید که «طبق مشخصات فنی دادههای لوکیت ایکس، در استفادۀ خریدار از دادههای لوکیت ایکس محدودیتی برای تعداد جستوجوها وجود ندارد». این سند میگوید دادههای لوکیشن شاید همیشه دقیق نباشد.
چند درخواست به بابل استریت و مازلم پرو ارسال شد تا نظرشان را بگویند اما پاسخی ندادند.
در ماه مارس، پروتکل که رسانۀ خبری حوزۀ فناوری است برای اولین بار گزارش داد که سازمانهای مجری قانون ایالات متحده همچون ادارۀ گمرک و حفاظت مرزی (CBP) و اِعمال مهاجرت و گمرک (ICE) در حال استفاده از لوکیت ایکس بودند. بعداً مادربورد مدرکی درونسازمانی از سرویس مخفی آمریکا به دست آورد که استفادۀ این سازمان از این فناوری را تایید میکرد. برخی از سازمانهای دولتی از جمله ادارۀ گمرک و حفاظت مرزی (CBP) و سازمان خدمات درآمد داخلی (IRS)، هم دسترسی به دادههای موقعیت مکانی را از فروشندۀ دیگری به نام وِنتِل (Venntel) خریدهاند.
مارک تالمن، استادیار گروه مدیریت شرایط اضطراری و امنیت میهن در آکادمیِ دریانوردیِ ماساچوست در ایمیلی به مادربورد گفت: «به نظر من، در عمل حتمی است که خارجیها تلاش کنند تا روی منابع مشابهی از پلتفرم خصوصیِ دادههای کاربران فشار بیاورند (و تقریباً مطمئناً در حال بهرهبرداریِ فعالانه از این منابع هستند). فکر میکنم سادهلوحانه باشد که برعکسِ این فکر کنیم.»
زنجیرۀ تامین
برخی شرکتها دادههای لوکیشن را از طریق دادههای بیداِستریم به دست میآورند. وقتی تبلیغکنندگان هزینههای مربوط را میپردازند تا تبلیغ آنها همزمان با گشتوگذارِ کاربر در اینترنت بر اساس معیارهایی همچون تطبیق لوکیشن کاربر با لوکیشن مدنظر تبلیغ، نمایش داده شود، اطلاعاتی از کاربران گردآوری میشود که به آن دادههای بیداستریم (bidstream) میگویند. علاوه بر این، شرکتها اغلب دادهها را از کیتهای توسعۀ نرمافزار (SDK) به دست میآورند.
شرکت دادههای لوکیشن ایکس-مود که با بابل استریت فرق دارد، توسعهدهندگان اپلیکیشن را ترغیب میکند که کیتهای توسعۀ نرمافزار این شرکت را، در اصل با اضافهکردنِ چند کد، به اپلیکیشنهایشان متصل کنند. بعداً این کیتهای توسعۀ نرمافزار، دادههای لوکیشن کاربر را جمعآوری کرده و برای ایکس-مود میفرستند. در عوض، ایکس-مود بر اساس تعداد کاربرانِ هر اپلیکیشن، به توسعهدهندگان مبلغی را میپردازد. طبق سایت ایکس-مود، مثلاً اپلیکیشنی با ۵۰هزار کاربر فعال روزانه در ایالات متحده، برای توسعهدهندهاش ماهانه ۱۵۰۰دلار درآمد خواهد داشت.
مدیرعامل ایکس-مود، جاشوآ انتون، در مصاحبهای جدید با سیاِناِن گفت که شرکتش ماهانه ۲۵میلیون دستگاه را درون ایالات متحده ردیابی میکند و ردِّ ۴۰میلیون دستگاه را نیز در دیگر مناطق همچون اتحادیۀ اروپا و آمریکای لاتین و آسیا-اقیانوسیه پی میگیرد. ایکس-مود پیش از این به مادربورد گفته بود که کد کیتهای توسعۀ نرمافزار این شرکت در حدود ۴۰۰ اپیلیکشن قرار دارد.
مادربورد با استفاده از نرمافزارهای تحلیل شبکه و اطلاعات گزارش ماه اکتبر کمیسیون رقابت و مصرفکنندگان استرالیا (Australian Competition & Consumer Commissionthe) و گزارش توسعهدهندگان اپلیکیشن گاردین (Guardian) که کاربران برای محافظت از دادههای موقعیت مکانی خود نصب میکنند، متوجه شد که کدام اپلیکیشنها این دادههای موقعیت مکانی را برای این دلالها میفرستادند.
این دادههای ارسالشده به دلالهای داده، اطلاعات شبکۀ وایفای کاربر، برچسب زمان (تاریخ و ساعت و مدتزمان استفادۀ کاربر) و اطلاعاتی همچون مدل گوشی کاربر را نیز شامل میشد.
اپلیکیشنهای دیگری که دادههایشان را به ایکس-مود میفرستند، از این قراراند:
- اپلیکیشن گامشمار اکوپِدو (Accupedo) که طبق گوگل پلی استور بیش از ۵میلیون بار دانلود شده است؛
- اپلیکیشن سیپلاس فور کریگزلیست (CPlus for Craigslist) که با استفاده از آن، کاربران میتوانند در کریگزلیست راحتتر جستوجو کنند و بیش از یکمیلیون بار دانلود شده است؛
- اپلیکیشن پیگیری تندبادها و طوفانها با نام گلوبال استورمز (Global Storms) که بیش از یکمیلیون بار دانلود شده است؛
- اپلیکیشن دوستیابی ایران سوشال (Iran Social) و دیگر اپلیکیشنهای مشابه آن با مخاطب هدف دیگر کشورها همچون ترکیه (با نام Turkey Social)، مصر (با نام Egypt Social)، کلمبیا (با نام Colombia Social) و…؛
- اپلیکیشن ضبط صفحۀ نمایش مابزاپ (Mobzapp screen recorder)؛
- اپلیکیشن ترازکردن با نام بابِل لِوِل (Bubble level) که بیش از ۱۰میلیون بار دانلود شده است.
مادربورد به سازندۀ ویتنامی اپلیکیشن همسریابی و دوستیابی مازلم مینگل (Muslim Mingle) که اپلیکیشن دیگری با هدف همسریابی دوستیابی سیاهپوستان با نام بلک مینگل (Black people) نیز دارد، درخواستهایی فرستاد تا دربارۀ این فروش اطلاعات کاربران توضیح بدهد؛ اما پاسخی از آنها دریافت نشد.
مادربورد پیش از این نیز نشان داده است که یکی از مشتریان ایکس-مود، شرکت جاسوسیِ خصوصیای است که هدفش استفاده از دادههای لوکیشن برای ردگیری مردم تا «در خانههایشان» است. ایکس-مود این را هم نشان داده است که چگونه میتوانیم از این دادهها استفاده کنیم تا ببینیم افرادی که در کانونهای شیوع کرونا بودند، به چه مناطقی رفتهاند و احتمالاً چه کسانی را در معرض این ویروس قرار دادهاند.
ایکس-مود در نسخهای آرشیوشده از بخش «شرکای قابلاعتماد» وبسایتش، شرکت سیرا نوادا کورپوریشن (Sierra Nevada Corporation) و شرکت سیستمز اَند تکنولوژی ریسرچ (Systems & Technology Research) را بهعنوان خریدارانِ محصولاتش معرفی میکند. شرکت سیرا نوادا کورپوریشن هم سازندۀ هواپیماهای نظامی برای نیروی هوایی ایالات متحده است و هم پشتیبان شرکت هوافضا و صنایع دفاعیِ نورثروپ گرومن (Northrop Grumman) که تجهیزات جنگ سایبری و الکترونیک را برای ارتش آمریکا توسعه میدهد. شرکت سیستمز اَند تکنولوژی ریسرچ نیز طبق گفتۀ وبسایتش، همکار ارتش و نیروی دریایی و نیروی هوایی آمریکاست و در کمک به تحلیلگرانِ اطلاعات در این نهادها، برای آنها «دادههای تحلیلشده» فراهم میکند.
سناتور دموکرات، ران ویدن، در بیانیهای به مادربورد گفت که در تماسی تلفنی با وکیل ایکس-مود، این وکیل تایید کرده است که ایکس-مود دادههای گردآوریشده از تلفنهای کاربران ایالات متحده را بهواسطۀ پیمانکاران دفاعی به مشتریان نظامیِ ایالات متحده میفروشد اما این شرکت حاضر نشده از پیمانکاران واسطه یا نهادهای نظامیِ خریدار دادهها نامی ببرد. ایکس-مود در ایمیلی نیز به مادربورد اعلام کرد که دیگر با شرکت سیرا نوادا کورپوریشن و شرکت سیستمز اَند تکنولوژی ریسرچ همکاری ندارد، گرچه پیش از این از مشتریانشان بودند. پس از این پیگیریها ایکس-مود نام چندین شرکت را از صفحۀ شرکای قابلاعتماد سایتش حذف کرد.
علاوه بر این، ایکس-مود در ایمیلش به مادربورد اعلام کرد که دادههایش را به تعداد کمی از شرکتهای فناوری بینالمللی میفروشد که شاید آن شرکتها همکار ارتش باشند اما هدف اصلی از این فروش دادههای لوکیشن، مبارزه با تروریسم و امنیت سایبری و پیشبینی کانونهای آتی شیوع کروناست.
توسعهدهندگان بسیاری از اپلیکیشنهای همکار با ایکس-مود، همچون اپلیکیشنهای مابزاَپ و بابل لول و سیپلاس فور کریگزلیست به مادربورد گفتند که نمیدانستند دادههایشان به صنایع دفاعی و نظامی فروخته میشود.
اپلیکیشن قدمشمار اکوپِدو در ایمیلی به مادربورد گفت که دربارۀ روابطش با شرکایش بهطور علنی صحبتی نمیکند و مادربورد میتواند دربارۀ این روابط از ایکس-مود سوال بپرسد. مدیرعامل شرکت کِلی تکنولوژی و توسعهدهندۀ اصلی اپلیکیشن گلوبال استورمز هم به مادربورد گفت هیچ مشکلی ندارد که ایکس-مود چه استفادهای از دادههای لوکیشن مرتبط با گلوبال استورمز میکند.
این در حالی است که ایکس-مود در سایت خود با افتخار میگوید که از کاربرانِ اپلیکیشنها رضایتنامه و اجازۀ دسترسی به دادههای موقعیت مکانیشان را گرفته است. حقیقت این است که اپلیکیشنهای طرف قرارداد با ایکس-مود مثل بابل لول و گلوبال استورمز به کاربر میگویند هدفشان نشاندادنِ تبلیغاتِ متناسب با کاربر، تحلیلهای بر پایۀ لوکیشن و پژوهشهای شهری و بازاریابی و علمی است که از کاربر اپلیکیشنشان اجازۀ دسترسی به لوکیشن را میگیرند. لازم به ذکر است که برخی از اپلیکیشنها همچون مازلم پرو، مازلم مینگل و ایران سوشال حتی چنین اطلاعاتی هم به کاربر نمیدهند. البته سیاستهای حفظ حریم خصوصی برخی از اپلیکیشنها و حتی خود ایکس-مود اعلام میکند که شاید از دادههای موقعیت مکانی «برای پیشگیری از بیماری و پژوهش، امنیت، مبارزه با جرم و جنایت و اجرای قانون» هم استفاده کنند. مازلم پرو فقط در بخش سیاستهای حفظ حریم خصوصی اشاره میکند که با شرکتهای توتِلا (Tutela) و کوادرانت (Quadrant)، دو شرکت دیگری که دادههای لوکیشن را جمعآوری میکنند، در همکاری است.
جالب این جاست که بعد از پیگیریهای مادربورد، هم اپلیکیشن مازلم مینگل و هم اپلیکیشن ایران سوشال توضیح کوتاهی را به اپلیکیشانشان اضافه کردند که اعلام میکند این اپلیکیشنها دادههای لوکیشن را ضبط و ثبت میکنند.
پس از مطرحکردن موضوع این اپلیکیشنها با کریس هافنگل، مدیر گروه مرکز قانون و تکنولوژی در دانشگاه برکلی، در ایمیلی به مادربورد گفت: «باید بپرسیم آیا مصرفکنندۀ معقولِ خدمات این اپلیکیشنها چنین استفادههایی را پیشبینی میکند و اگر صریح از اون بپرسیم، آیا با آنها موافق خواهد بود. طبق این شرایط، با اطمینان میتوان گفت که مصرفکنندهای معقول -که از اهالی فناوری نیست- استفادۀ نظامی از دادههایش به فکرش هم نخواهد رسید، حتی اگر این بخشهای قوانین اپلیکیشنها را هم بخواند.»
شرکت سیرا نوادا کورپوریشن پشت پردۀ گزارشی بسیار ننگآور بود که با استفاده از دادههای لوکیشن بهدروغ ادعا کرده بود آغاز شیوع بیماری کرونا بهخاطر انتشار ویروسی از مؤسسه ویروسشناسی ووهان در اکتبر سال ۲۰۱۹ بوده است.
https://usfacts.ir/1399/08/991082801/