Mokslas ir IT

2021.09.24 05:30

IT ekspertas įvardijo, kokius duomenis telefone pasiekia programėlės: žinant tai, darosi nejauku

Patricija Kilminavičienė, LRT.lt2021.09.24 05:30

Kartu su išmaniųjų įrenginių eros pradžia tapo aišku, kad privatumas taps daugeliui sunkiai prieinama privilegija. Naudodamiesi socialiniais tinklais, naršydami internete ir žaisdami žaidimus visi mes paliekame savo internetinį pėdsaką, tą pėdsaką mato ne tik konkretaus įrenginio gamintojas ir programėlės savininkas, bet greičiausiai ir dar kas nors, apie ką net nenutuokiame. O sužinoję, prie kokių duomenų telefone prieigą turi populiariausių socialinių tinklų programėlės, galite pasijausti išties nejaukiai.

Per programėles informaciją apie save galima ištransliuoti keturioms ir daugiau šalių

Kaip LRT.lt aiškino Vilniaus universiteto Kibernetinio saugumo laboratorijos vadovas, Matematikos ir informatikos fakulteto docentas Linas Bukauskas, išmanųjį telefoną sudaro ne tik operacinė sistema, veikianti ir aptarnaujanti kompiuterį, bet ir trečiųjų šalių sukurtos programėlės.

Pavyzdžiui, mes visi puikiai žinome, kad į savo išmaniuosius įrenginius, turinčius „Android“, „iOS“ ar kitą operacinę sistemą, galime įsidiegti programėlių, papildančių juos savo funkcionalumu.

„Išmanusis telefonas dabar jau yra gana galingas kompiuteris. Visos programėlės, kurios sukurtos trečiųjų šalių, turi būti papildomai analizuojamos ir stebimos, ar jos atlieka tai, ką ir turi atlikti. Jeigu programėlę diegiame per oficialias parduotuvėles, pavyzdžiui, „Google Play“, tokiu atveju jos yra patikrinamos pačių parduotuvės valdytojų. Patikrinama, ar jos nedaro kokių nors piktavališkų veiksmų, bet tai neužkerta kelio toms programėlėms įdiegti vartotojų stebėseną“, – teigė L. Bukauskas.

Kas yra tos trečiosios šalys, kurioms programėlės gali siųsti duomenis? Kaip aiškino specialistas, pirmoji šalis yra pats išmaniojo įrenginio vartotojas, antroji šalis – įrenginio gamintojas, į jį įdiegęs savo parduotuvę, kurioje kaupiamos visos programėlės. Pavyzdžiui, jei gamintojas yra „Sony“, tai telefone bus įdiegta „Sony“ žaidimų ir kitų aplikacijų parduotuvė.

Trečioji šalis yra programėlė, kuri nėra sukurta įrenginio gamintojo. Pavyzdžiui, dažniausiai telefonas turi kameros programėlę, įdiegtą jau paties gamintojo, tačiau programėlių parduotuvėje galima įsigyti kameros aplikaciją su papildomomis funkcijomis. Kitaip tariant, visos programėlės, kurios į įrenginį nėra įdiegtos pačių gamintojų, yra trečiųjų šalių programėlės.

Tokios aplikacijos duomenis gali siųsti ne tik jas sukūrusioms kompanijoms, bet ir kitur. Taip išeina, kad, žaisdami paprasčiausią žaidimą, informaciją apie save pateikiate ne vienai ar dviem šalims, o keturioms ir daugiau. Tos kitos šalys nebūtinai yra, pavyzdžiui, Kinija, duomenis programėlė gali siųsti bet kam, net ir JAV, Rusijai, Izraeliui ar Europos Sąjungos šalims.

Įprastai programėlės informaciją renka neperžengdamos savo veikimo ribų

L. Bukauskas įvardijo, kad beveik visose programėlėse paprastai būna įdiegti kokybės stebėsenos sekliai. Juos programėlės viduje įkoduoja programuotojai dėl technologinio sekimo. Pavyzdžiui, jeigu programėlė atsisako veikti arba dėl kokių nors priežasčių negali to daryti, ji išsijungia ir kartu įrašo, kokioje būsenoje ji išsijungia. Taip kūrėjai gauna informaciją apie tai.

Kitais atvejais programėlės kūrėjai apgalvoja, kaip papildomai užsidirbti lėšų, todėl įdeda seklių, skirtų reklamos turiniui sekti arba jam tiekti. Kitaip tariant, stebima, kokias paslaugas renkasi vartotojas, kas jį domina, tačiau tai atliekama neperžengiant programėlės veikimo ribų.

„Programėlės jokiu būdu neseka už savo ribų. Kol programa veikia, ji gali sekti veiksmus toje aplikacijoje. Patys populiariausi yra kompiuteriniai žaidimai, kuriuose suteikiamas nemokamas turinys, pats žaidimas, jį įdiegus kaip nemokamą programėlę, dažnai būna vadinamųjų reklamos pertraukų. Gali būti sekamas vartotojo IP adresas, galbūt sekamas jo paspaudimų turinys, jeigu tai yra turinys iš interneto, sekama, kokį turinį vartotojas spaudžia. Tokiu būdu suformuojamos labiau pritaikytos reklamos pagal tą vartotoją.

Pavyzdžiui, išvykus į komandiruotę ir pabuvus keletą dienų užsienio valstybėje, neretai galima pastebėti, kad telefonas, užuot tiekęs lietuvišką reklamą, pradeda tiekti tos šalies reklamą. Grįžus atitinkamai per porą dienų ta sekimo sistema prisitaiko, tada vartotojas po truputį grąžinamas į reklaminį lauką, kuris ir skirtas tam regionui“, – kalbėjo IT specialistas.

Duomenys gali nukeliauti ten, kur jų nebepavyks ištrinti

Piktybiškesnis sekimas, pasak L. Bukausko, vyksta tuomet, kai duomenys, kuriuos mes kaupiame išmaniajame, pavyzdžiui, nuotraukos, būna nutransliuojamos į svetaines, valdomas trečiųjų šalių. Nors tokia programėlė įdiegta telefone, ji yra ne kas kita kaip internetinė naršyklė, dirbanti su nuotoline svetaine, į kurią keliauja visi duomenys.

„Ta programėlė nesaugo didelio kiekio informacijos telefone, o stengiasi kuo daugiau jos saugoti centralizuotame debesyje, svetainėje. Kokios pasekmės? Gali būti taip, kad, suteikus per daug teisių tai programėlei, nes ji dažnai prašo prieigos prie buvimo vietos, mikrofono, adresų knygelės, medijos failų, kuriuos pats pasigaminai, nuotraukų, vaizdo įrašų, ta informacija bus kaupiama kažkokioje trečiojoje šalyje, kuri yra ne mobilusis įrenginys.

Bet vėlgi, čia reikėtų turėti sveiko proto, pažiūrėti, ar tikrai tai programėlei reikia suteikti tokias teises, ar tikrai ji yra būtina telefone, ir suprasti, kad jeigu įkelsite asmeninę nuotrauką į aplikaciją, kuri yra už Europos Sąjungos ribų, bus labai sudėtinga užsitikrinti, kad ji bus iš ten ištrinta. Kitaip tariant, niekada negalėsite garantuoti, kad internetiniai pėdsakai, nuotraukos, privatūs susirašinėjimai nepateks į trečiąsias šalis“, – LRT.lt aiškino kibernetinio saugumo ekspertas.

Anot jo, reikia atsižvelgti ir į tai, ar programėlė yra sukurta profesionalų, ar kokios nors neaiškios, neseniai susikūrusios įmonės. Tiesa, startuoliai stengiasi sukurti naujų paslaugų ir jas patraukliai pateikti, tačiau svarbu pagalvoti apie naujo funkcionalumo ir savo asmeninio saugumo santykį. Visas įdiegiamas programėles reikėtų vertinti kritiškai.

L. Bukauskas įvardijo, kad jei naudojimosi metu vartotojas įtaria, jog programėlė atlieka kokius nors įtartinus veiksmus, visada galima susirasti jos aprašą, jame dažnai būna nurodoma, kokių teisių ji reikalauja. Pavyzdžiui, prieigos prie vietos nustatymo, belaidžio tinklo, nuotraukų ir t. t. Visa tai galima peržiūrėti ir pamačius, kad programėlė turi įtartinai per daug prieigų, jas apriboti. Daugeliu atvejų tai galima atlikti telefone per nustatymus.

Kai kurios programėlės prašo itin daug prieigos teisių prie mūsų duomenų

Kibernetinio saugumo specialistas atkreipė dėmesį, kad sekti naudojamos technologijos padeda surinkti informaciją apie vartotojo naršymo įpročius, ji pridedama prie vietos ir IP adreso, naudojamų paslaugų. Tuomet atitinkamai parenkamos ir siunčiamos reklamos.

„Mes savo laboratorijoje tyrinėjame paslaugas, kurios ne visada būna aiškios ir gerai aprašytos. Turime programėlių, kurios siunčia informaciją į trečiąsias šalis, ir mes net neįsivaizduojame, kas tai yra“, – teigė L. Bukauskas.

Iš tiesų, įvairios daugelio naudojamos programėlės renka ypač daug informacijos apie mus. Vilniaus universiteto Kibernetinio saugumo laboratorijoje specialistai turi įrankių, kuriais galima analizuoti, kokią informaciją ir kokiais būdais renka aplikacijos. Kaip įvardijo L. Bukauskas, programa „Instagram“ prašo net 36 prieigos teisių.

„Ji nori prieiti prie labai detalios jūsų buvimo vietos, medijos failų, tinklo būsenos, fotoaparato. „Instagram“ gali vykdyti užnugarines paslaugas – tokias, kurios nėra tuo metu aktyvios ekrane. Gali gauti jūsų paskyrų sąrašą, skaityti kontaktus, telefono numerius, matyti, ar kalbate telefonu. Suteikdami patvirtinimą programėlei, kad ja naudositės, leidžiate jai įrašyti ir garsą“, – LRT.lt aiškino specialistas.

LRT.lt prašymu L. Bukauskas pateikė trijų skirtingų gamintojų socialinių tinklų statinę programinio kodo ir parametrų analizę. Ji yra preliminari ir į ją neįtraukta tinklo naudojimo analizė, tačiau vis tiek leidžia neblogai susidaryti įspūdį, kas vyksta mūsų įrenginiuose.

Dalis programėlių renka duomenis net tada, kai jos išjungtos

Jeigu programėlei suteikiama teisė dirbti užnugario režimu, net sumažinta, vizualiai išjungta, ji vis tiek gali vykdyti kokį nors procesą, kuris kaupia informaciją. Pasak kibernetinio saugumo specialisto, gali būti vykdomas pasyvus vartotojo sekimas.

Pavyzdys galėtų būti COVID-19 užsikrėtimams sekti skirta programėlė „Korona Stop LT“, ji nuolatos, net ir uždaryta, rinkdavo informaciją apie vartotojus ir kas tam tikrą laiką išsiųsdavo pranešimą, ar įvyko kontaktas su koronavirusu užsikrėtusiu asmeniu.

Sekimas gali būti vykdomas pagal tai, ką vartotojas turi unikalaus. Savo unikalumą galima netgi pasitikrinti svetainėje „AmIUnique“, čia bus parodyta, pagal kokius parametrus esate atpažįstamas. Sekti žmones taip pat galima ir pagal jų naudojamus įrenginius.

„Įrenginiai turi savo unikalius numerius. Nesvarbu, kad mes belaidžiams taškams suteikiame pavadinimus, dažniausiai yra ir vadinamasis technologinis adresas, jis paslepiamas ne žmonėms, o mašinoms komunikuojant. Tas unikalus adresas taip pat yra vienas iš sekimo būdų. Atitinkamai ir IP adresas, kuris gali pasakyti, kur maždaug jūs esate.

Neretai būna taip, kad užėjus į kokią nors kavinę ir iš jos išėjus „Google“ prašo papasakoti apie savo patirtį. Taip dažniausiai susiejama buvimo vieta, „Wi-Fi“, kiti papildomi parametrai tam, kad būtų nustatyta konkreti buvimo vieta“, – aiškino L. Bukauskas. Anot jo, tokios sekimo technologijos įgyvendinamos labai paprastai – iš programuotojų pusės tai yra tiesiog bibliotekų panaudojimas.

Geri ketinimai ne visada nuveda prie gerų pasekmių

Daug dėmesio kalbant apie sekimą sulaukia ir vyraujančios teorijos, kad telefonai klausosi vartotojų pokalbių ir juos įrašinėja. Pasak IT eksperto, tikėtina, kad programėlės, kurios turi priėjimą prie mikrofono, galėtų ir klausytis. Tai reikia žinoti tiems, kurie naudojasi virtualiaisiais asistentais.

„Kad visą laiką klausytųsi įrašo, ta programėlė turėtų jį kaip nors apdoroti. Virtualiems asistentams, tokiems kaip „Google Assistant“, gali pasakyti „Ok, „Google“, play music“ (Gerai, „Google“, grok muziką – LRT.lt). Tada jis iš grojaraščio ištraukia paskutinį įrašą ir jį paleidžia. Virtualusis asistentas dažniausiai sukurtas padėti žmonėms, kuriems reikia judėjimą pakeisti balso komandomis.

Jeigu žmogus naudojasi virtualiojo asistento paslaugomis, natūralu, kad mikrofonas bus kartais naudojamas, bus klausomasi ir laukiama komandos. Visi asistentai yra individualūs, juos reikėtų paanalizuoti detaliau“, – pasakojo L. Bukauskas.

Vienas įdomus atvejis, susijęs su pokalbių klausymusi, prieš keletą metų įvyko JAV su „Alexa“ – „Amazon“ virtualiuoju išmanių namų asistentu, daugiausia skirtu daiktams pirkti. Per televiziją kalbant žinių vedėjui apie tai, kaip maža mergaitė per „Alexa“ užsisakė lėlę, daugybės gyventojų namuose virtualieji asistentai išgirdo savo vardą ir ėmė užsakinėti lėles masiškai.

„Amazon“ tuomet aiškino, kad atsitiktinai beveik neįmanoma užsisakyti kokių nors prekių. Kompanija taip pat pabrėžė, kad net jeigu per televiziją pasakyta frazė „pažadino“ daugybę „Alexų“, užsakymai nevykdomi be papildomo patvirtinimo iš vartotojo. Dabar jau niekas nežino, ar šešiametė mergaitė per televiziją netyčia nepasakė „taip“.

Anot L. Bukausko, geri ketinimai atveda prie visai naujų technologijų funkcijų atsiradimo. Virtualieji asistentai yra puikus įrankis žmonėms, turintiems negalią, gauti pagalbą. Jie gali įgarsinti tekstą, vietovę, vykdyti balso komandas. Tačiau kartais geros technologijos gali būti panaudojamos ir nebūtinai geriems tikslams.

Kaip individai esame niekam neįdomūs

Kažkas apie mus išties žino labai daug – mūsų įpročiai, lankomos vietos, mėgstamas turinys, pokalbiai su draugais yra kaip ant delno padėti programėlių kūrėjams ir dar kažkam, apie ką net neįsivaizduojame. Žinodami tai, turėtume jaustis ypač nejaukiai, nes kai kurios smulkmenos gali būti itin jautrios. Ką daryti? Susitaikyti ar keisti savo įrenginių naudojimo įpročius?

„Žmonės yra socialūs gyvūnai, gyvename tarp kitų žmonių ir visada vieni kitus matysime, pažinosime. Ištirpti visuomenėje ir tapti visišku anonimu galbūt net ir nenaudinga, būsi kažkoks sau egzistuojantis objektas. Jeigu žiūrėtume teisiniu aspektu, ES Bendrasis duomenų apsaugos reglamentas nustato, kaip turi būti naudojami europiečių duomenys.

Tai reiškia, kad paslaugos teikėjas privalo prašyti ne daugiau privačių duomenų, negu būtina jai atlikti. <...> Tie, kurie išmano tuos dalykus, turi stebėti ir aktyviai informuoti kitus, ar konkrečios programėlės, sistemos neatlieka veiksmų, kurie galbūt nėra visai teisėti“, – dėstė L. Bukauskas. Jis pabrėžė, kad vis dėlto kaip individai kiekvienas atskirai iš tiesų mes esame niekam neįdomūs – daugeliui kompanijų aktualios socialinės grupės ir jų bruožai, įpročiai.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt