بقلم توماس فولتين الكاتب في أمن المعلومات لدى شركة إيسيت
وجد الباحثون أن جزءًا كبيرًا من تطبيقات الأطفال الرائجة قد تتعارض مع تشريع الخصوصية في الولايات المتحدة عن طريق جمع البيانات بشكل غير صحيح وإن كان ذلك غالبًا ما يكون عن غير قصد ولم يأت الرد من جوجل على النتائج التي لا تشوبها شائبة وهناك أكثر من 3,300 تطبيق أندرويد مخصص للأطفال على جوجل بلاي تقوم بجمع بيانات الأطفال بطريقة غير لائقة، مما قد يؤدي إلى انتهاك التطبيقات لتشريعات خصوصية الأطفال في الولايات المتحدة ، حسبما توصلت إليه دراسة حديثة.
الدراسة التي تدعى “ألم يفكر أحد حول الأطفال؟” قامت بفحص إمتثال “قانون حماية خصوصية الأطفال على الإنترنت” COPPA مختبرة 5,855 تطبيقًا من التطبيقات المعروفة و الأكثر شعبية للأطفال، ووجدت أن 57 في المئة تقريبًا من التطبيقات التي تصل إلى 3,337 تطبيقًا من المحتمل أن تنتهك قانون حماية خصوصية الأطفال في الولايات المتحدة عبر الإنترنت.
إن قانون حماية خصوصية الأطفال على الإنترنت يحمي الأطفال دون سن 13 عامًا من جمع المعلومات الشخصية PII، وينظم القانون كيفية السماح للتطبيقات أو الألعاب أو مواقع الويب بجمع ومعالجة البيانات الحساسة من الأطفال، وبذلك تمنع بعض ممارسات جمع البيانات بشكل صريح وبتم وضع الآباء أو الأمهات أو الوصي الشرعي على الطفل في كامل التحكم.
ولقد تم الإختبار على 5,855 تطبيقًا من قبل 1,889 مطورًا، وحصلوا على 4.5 مليار عملية تثبيت للتطبيقات فيما بينهم وهي مدرجة في 63 فئة مختلفة في متجر جوجل بلاي، ومعظمها في فئات الألعاب مختلفة.
ما يمكن أن تصل له التطبيقات بالتحديد؟
لقد استخدم الفريق المكون من سبعة باحثين أغلبهم من الجامعات الأمريكية والكندية عملية اختبار تلقائية لاكتشاف كيفية تعامل التطبيقات مع البيانات.
ووجدوا أن الانتهاكات المحتملة جاءت في عدة أشكال، على سبيل المثال، تمكنت 28 في المئة من التطبيقات من الوصول إلى بيانات حساسة محمية بموجب أذونات أندرويد ولعل الأكثر إثارة للقلق هو أن ما يقرب من 5 في المئة من جميع التطبيقات قد جمعت معلومات تحديد الموقع الجغرافي للأطفال أو معلومات الاتصال بهم، لا سيما عنوان البريد الإلكتروني أو رقم الهاتف الخاص بمالك الجهاز، دون إذن من أحد الوالدين.
إن هناك نسبة تقريبية حوالي ثلاثة أرباع 73 في المئة من البيانات الحساسة مرسلة عبر الإنترنت، ولكن 40 في المئة منها لم تطبق إجراءات أمنية معقولة بسبب عدم استخدام “بروتوكول أمان طبقة النقل”، وهو بروتوكول تأمين البيانات أثناء النقل.
كما حددت الدراسة أيضًا عدم امتثال محتمل لبروتوكول النقل بنسبة تقدر بـ 19 في المئة من التطبيقات التي جمعت ما يسمى بالمعرفات الدائمة، مثل رقم IMEI الفريد للجهاز أو عنوان الخادم اللاسلكي مع أطراف أخرى لأغراض محظورة، لا سيما تحديد المستخدمين واستهداف الإعلانات، ووفقًا لـقانون حماية خصوصية الأطفال على الإنترنت، تُعتبر هذه المعرّفات معلومات شخصية إذا كان يمكن استخدامها للتعرف على بيانات المستخدم و إستخدام ذلك طوال الوقت عبر مواقع وخدمات الإنترنت.
وبالإضافة إلى ذلك، قامت 39 في المئة من التطبيقات بإرسال إعلانات جوجل المعروف باسم AAID مع معرف آخر “غير قابل للتغيير” إلى نفس الوجهة، ومن الواضح أنها تعمل مخالفة لشروط خدمة برنامج جوجل بلاي المصممة للعائلات.
وعلق الباحثون الجزء الأكبر من اللوم على البيانات التي تنزلق على إدراج التطبيقات واستخدام طرف ثالث من “حزمة أدوات تطوير البرمجيات” SDK: “في حين أن العديد “حزمة أدوات تطوير البرمجيات” توفر خيارات تهيئة من أجل احترام قانون حماية خصوصية الأطفال على الإنترنت عن طريق تعطيل التتبع والإعلان السلوكي، فإن بياناتنا تشير إلى أن معظم التطبيقات إما لا تستخدم هذه الخيارات أو تنشرها بشكل غير صحيح عبر حزمة أدوات تطوير البرمجيات للتوسط” .
مع الوضع في الإعتبار، ظن الباحثون بأن العديد من انتهاكات الخصوصية غير مقصودة وتسببها سوء فهم الطرف الثالت من حزمة أدوات تطوير البرمجيات.
الأمر عند جوجل
أقر الباحثون بخطوات جوجل لضمان الامتثال لـ” قانون حماية خصوصية الأطفال على الإنترنت”، ولكنه أضاف بأن يبدو أنه لا يوجد حدود للحد من انتهاك القانون، ونتيجة لذلك حثوا الشركة على أن تكون أكثر نشاطًا في عملية التدقيق، من ناحية أخرى نقل موقع “Tom’s Guide” عن متحدث باسم جوجل قوله ردًا على النتائج: “نحن نأخذ تقرير الباحثين بجدية تامة وننظر في النتائج التي توصلوا إليها، تعتبر حماية الأطفال والعائلات أولوية قصوى لدينا، ويقتضي برنامج “مصصم للعائلات” Designed for Families program من المطورين الالتزام بمتطلبات محددة تتجاوز سياساتنا القياسية في جوجل بلاي، وإذا قررنا أن هناك أحد التطبيقات ينتهك سياساتنا، فسنتخذ إجراءًا نحن نقدر دائمًا عمل مجتمع الأبحاث للمساعدة في إنشاء نظام أندرويد اَمن.