تحقیقات از آلودگی گوشیهای شیائومی، وانپلاس و ریلمی حاضر در چین به نرمافزارهای جاسوسی خبر میدهند
چین بزرگترین بازار گوشیهای هوشمند در جهان به شمار میرود و بیش از 70 درصد اسمارتفونهای این کشور مبتنی بر سیستمعامل اندروید هستند. محققان دانشگاه ادینبورگ و ترینیتی کالج دوبلین در پژوهش تازه خود روی بازار این کشور دریافتهاند که آن دسته از گوشیهای هوشمند ساختهشده توسط وانپلاس، شیائومی و برند ریلمی اوپو که در چین به فروش میرسند، حجم زیادی از دادهها (شامل اطلاعات شخصی) را بدون رضایت کاربر در اختیار سایر شرکتها قرار میدهند. روشن است که این شیوه از گردآوری دادهها و اطلاعات، بدون اطلاع یا رضایت کاربر، به راحتی منجر به ردیابی پیوسته آنها و افشای هویت اشخاص میشود.
بر اساس تحقیق تازهای که توسط دانشمندان علوم رایانه در چند دانشگاه مختلف انجام شده است، برندهای محبوب چینی دادهها و اطلاعات حساس کاربران را از طریق سیستمعامل یا برنامههای از پیش نصبشده روی گوشی گردآوری میکنند. محققان با بررسی این دادهها هشدار دادهاند که این دستگاهها «مقادیر نگرانکنندهای از اطلاعات شخصی قابل شناسایی یا PII (کوتاهشده Personally Identifiable Information) را نه تنها به فروشندگان دستگاه، بلکه به ارائهدهندگان خدمات همچون Baidu و اپراتورهای شبکه همراه چینی ارائه میکنند.» از این رو طبیعی است که با توجه به رابطه نزدیک صنعت خصوصی چین با دولت این کشور، این اطلاعات در نهایت در اختیار دستگاههای نظارتی حزب حاکم بر چین قرار گیرد.
از دید این گروه از پژوهشگران، حریم خصوصی کاربران چینی باید بیش از این مورد حفاظت قرار گیرد. چرا که یافتههای این مطالعه در مجموع تصویر نگرانکنندهای از وضعیت دادههای کاربری در بزرگترین بازار اندرویدی جهان را آشکار ساخته است. از این رو اِعمال کنترلهای شدیدتر روی حریم خصوصی برای افزایش اعتماد مردم چین به شرکتهای فناوری که البته بسیاری از آنها تا حدی دولتی به شمار میروند، گامی ضروری و فوری به شمار میرود.
روش کار پژوهشگران در این تحقیق به این صورت بود که تعدادی از دستگاههای عرضهشده این تولیدکنندگان در چین را مورد بررسی و تجزیه و تحلیل قرار دادند تا احتمال نشت دادههای آنها را بررسی کنند. فرض آنها این بود که اپراتور دستگاه نسبت به «حریم خصوصی» حساس است، از ارسال دادههای شخصی به ارائهدهندگان خدمات خودداری میکند و فضای ذخیرهسازی ابری یا «سایر سرویسهای طرف سوم» را به کار نمیگیرد؛ حال آن که در واقعیت چنین نبود. در واقع گوشیهایی که این محققان مورد بررسی قرار دادند، اطلاعات شخصی قابل شناسایی کاربران از جمله موارد بسیار حساسی همچون اطلاعات پایه کاربری مانند شماره تلفن و شناسههای دائمی دستگاه (آدرسهای IMEI و MAC، شناسههای تبلیغاتی و دیگر موارد مشابه)، دادههای مربوط به موقعیت و مکان جغرافیایی و ارتباطات اجتماعی از جمله مخاطبین و شماره تلفن آنها و الگوی استفاده از اپلیکیشنهای مختلف در کنار فرادادههای متنی مانند تاریخچه پیامکها و تماسها را جمعآوری میکند. به این ترتیب، دریافتکنندگان این دادهها تصویر کاملاً واضحی از این که چه کسی از یک دستگاه خاص استفاده میکند، در کجا حضور دارد و با چه کسانی در ارتباط است، در اختیار خواهند داشت. نکته مهم در این میان آن است که در چین شماره تلفن هر فرد به یک «شناسه شهروندی» مرتبط است و هویت واقعی و قانونی افراد را نشان میدهد.
به گفته محققان، تمام این دادهها بدون هیچ گونه اعلان یا اخذ رضایت کاربر گرد آورده میشوند و هیچ راهی نیز برای انصراف دارنده دستگاه از جمعآوری آنها وجود ندارد. به علاوه مطابق یافتههای این پژوهش، روند ارسال دادههای شخصی حتی با خروج دارنده دستگاه از قلمرو چین نیز قطع نمیشود و به این ترتیب قوانین و مقررات حریم خصوصی در دیگر کشورها را نیز نقض میکند. همچنین محققان دریافتهاند که حتی با قطع خدمات اپراتورها به دستگاه (به عنوان مثال زمانی که سیمکارتی در دستگاه قرار داده نشده باشد) ارسال دادههای شخصی همچنان ادامه دارد.
همان طور که اشاره شد، این پژوهش در مورد گوشیهایی انجام شده که در کشور چین به فروش میرسند و کاربرانی که دستگاه خود را در کشورهای دیگر خریداری میکنند احتمالا نباید در این خصوص نگرانی داشته باشند. به گفته منابع خبری، تعداد برنامههای از پیش نصبشده در اسمارتفونهای ارائهشده در چین سه تا چهار برابر بیشتر از نمونههای بینالمللی عرضهشده در کشورهای اروپایی است و در عین حال مجوزهایی که در اختیار اپلیکیشنهای این گوشیها قرار میگیرد، هشت تا ده برابر بیشتر از اسمارتفونهای کاربران غیر چینی است.
اگر چه آشنایی اندک با رویکرد دولت چین به حریم خصوصی و حقوق پایه شهروندی سبب خواهد شد که یافتههای این پژوهش بدیهی قلمداد شوند، اما جزئیات آن از بسیاری جنبهها شایان توجه است و چگونگی جمعآوری فعالانه دادههای کاربری توسط سازندگان چینی و دیگر طرفین تجاری این شرکتها را روشنتر میسازد. به علاوه افشای این وضعیت به نوعی ناقض برنامه مورد ادعای چین برای تصویب قانون حفظ حریم خصوصی به سبک مقررات عمومی حفاظت از داده اتحادیه اروپا یا GDPR است. قانونی که ظاهرا بناست از مصرفکنندگان چینی در برابر جمعآوری دادهها بدون رضایت آنها محافظت کند.