هذا المقال نُشر أولا في موقع حبر بتاريخ 14-07-2015
مليارات الرسائل تُتداول يوميًا بين المستخدمين حول العالم عبر تطبيقات الهواتف الذكية المنتشرة، كواتسآب وفايبر وفيسبوك وغيرها. هذا النوع من التطبيقات يلقى رواجًا بين المستخدمين لتسهيله عملية التواصل وتكلفته البسيطة مقارنة برسائل القصيرة والمكالمات الصوتية التقليدية، لكن ربما تُعرّض هذه التطبيقات خصوصية المستخدم للخطر في حالة استخدم التطبيق الخطأ.
لا يدفع المستخدم لقاء استخدام خدمات شركات عملاقة كغوغل وفيسبوك وميكروسوفت وياهوو وغيرهم، بما في ذلك تطبيقات الهواتف المحمولة الخاصة بهم. فببساطة، أنت السلعة والمنتج الذي تبيعه هذه الشركات. ما يحدث أن كل ما تقوم به من خلال هذه المواقع يٌسجّل ويُعالَج بحيث يُستخدم لاحقًا في توجيه الإعلانات إليك، وأحيانًا مشاركتها ضمن برامج تجسس مع حكومات، بدءًا من رسائلك وبريدك الإلكتروني وموقعك الجغرافي، وحتى كيفية تعاملك مع هذه المواقع والمحتوى الذي تشاركه وترسله لآخرين أو تتفاعل معه والأنشطة التي تكررها.
في هذا المقال، سنركّز على كيفية اختيار تطبيقات التواصل على الهواتف المحمولة والتفضيل فيما بينها بما يجعلنا نحافظ على خصوصيتنا الرقمية لأقصى قدر ممكن، كما سيتبع هذا المقال مقالات أخرى تتعلق بموضوع الأمن والخصوصية على الهواتف الذكية ضمن سلسلة من المقالات تُركّز بشكل أساسي على أمن وحماية الهواتف الذكية.
قد يبدو اختيار التطبيق المناسب محيّرًا قليلاً، فوظيفة واحدة مثل إضاءة فلاش الهاتف لاستخدامه ككشاف إضاءة، يتوفر لها مئات التطبيقات التي تقوم بها. في نفس الوقت، فإن استخدام التطبيق الخطأ يمكن أن يُعرض بياناتك وخصوصيتك للخطر. الأمر يتعلق أولاً وأخيرًا بفهم كيفية التجسس وكيف يمكن أن تتجسس عليك التطبيقات. ويصبح الموضوع أكثر خطورة عند الحديث عن التطبيقات المخصصة للتراسل النصي أو إجراء المكالمات عبر الإنترنت، في السطور القادمة سنتناول بعض النصائح التي يمكنها أن تساعد المستخدم في اختياره للتطبيق الأكثر أمنا وحماية.
القاعدة الأولى: قبل تحميل أي تطبيق، تأكد من الأذونات
دقق في الأذونات (Permissions) التي يطلبها كل تطبيق ووازن بين الوظيفة التي يقوم بها البرنامج وما يطلبه من أذونات، ولا تُثبّت أي تطبيق يطلب أذونات أكثر من المطلوبة لتنفيذ وظيفته. فاضل بين التطبيقات التي تؤدي نفس الوظيفة واحصل على التطبيق الأقل طلبًا للأذونات واقرأ المراجعات الخاصة بالتطبيق المنشورة على الإنترنت، فربما هناك من اكتشف انتهاكًا للخصوصية يمارسه التطبيق.
على الرغم من أن هذه الأذونات تقوم على تمكين التطبيق من عمله، إلا أنها يمكن أن تُستغل لجمع البيانات الموجودة على هاتفك، كجهات الاتصال والصور والفيديو والرسائل القصيرة وتاريخ التصفح والموقع الجغرافي وغيره ذلك من المعلومات والبيانات الموجودة على هاتفك.
لتبسيط فكرة الأذونات التي تطلبها على التطبيقات، يمكن اعتبارها أنها صلاحية يعطيها الهاتف للتطبيق بحيث يكون قادرًا على قراءة و/أو كتابة و/أو التعديل على البيانات الموجودة على الهاتف الذكي أو استخدام والوصول إلى الكاميرا والمايكروفون والبلوتوث والجي بي إس ..إلخ. ما يعني أن بعض التطبيقات يمكنها -على سبيل المثال لا الحصر- أن تطلع على صورك ورسائلك وجهات الاتصال الخاصة بك وتاريخ تصفحك للإنترنت وحتى التقاط صور وفيديو وتسجيل الصوت المحيط وإرسال كل ذلك لآخرين. وكلما زادت الأذونات التي يطلبها التطبيق؛ كلما زادت المعلومات والبيانات التي يمكنه جمعها عن المستخدم.
مثلًا، لنفترض أنك تريد استخدام أحد تطبيقات التراسل الفوري، والتي يتوفر بها الإمكانيات التالية:
– إرسال واستقبال الرسائل النصية.
– إرسال واستقبال الفيديو والصور (المحفوظة في الهاتف أو التقاطها مباشرة من التطبيق).
– استخدام رقم الهاتف كمُعرّف للمستخدم، والتأكد منه عبر الرسائل القصيرة.
– التواصل مع جهات اتصالك ممن يستخدموا نفس التطبيق.
ما هي الصلاحيات التي يمكن أن يطلبها تطبيق بهذه الإمكانيات؟ يبدو منطقيًا أن يطلب التطبيق صلاحيات تجعله قادرًا على القيام بعمله بطريقة صحيحة دون أخطاء، كالتالي:
– جهات الإتصال الخاصة بك، لمعرفة من منهم يستخدم نفس التطبيق.
– الوصول للكاميرا، لالتقاط الصور أو الفيديو مباشرة من التطبيق.
– الوصول لذاكرة التخزين في الهاتف لإرسال أو استقبال الصور أو الفيديو من آخرين.
– الوصول للرسائل القصيرة للاستقبال رسالة تفعيل التطبيق.
– الوصول لمعلومات هاتفك في حالة أن كان التطبيق يستخدم رقم الهاتف كمعرّف للمستخدم.
أما إذا كان التطبيق يعمل عبر إنشاء اسم مستخدم وكلمة مرور (مثل تشات سكيور) وليس برقم الهاتف (مثل واتسآب)، فلن يكون هناك داعٍ لإعطاء التطبيق صلاحية الوصول للرسائل القصيرة ولن يحتاج منك إدخال رقم الهاتف مثلاً. طبّق المثال السابق على أي من التطبيقات التي تستخدمها ووازن بين الصلاحيات المطلوبة ووظائف التطبيق.
مع ذلك، فالأذونات ليست كل شيء.قد يبدو أن بعض التطبيقات التي تُهاجم بسبب انتهاكها الخصوصية تطلب أذونات تتناسب مع الوظائف التي تؤديها. فعلى سبيل المثال، يطلب كل من فيسبوك ماسنجر وواتسآب وفايبر وسكايب أذونات استخدام الكاميرا والميكروفون واستخدام الشبكة والتعديل في ذاكرة التخزين وجهات الاتصال وسجل المكالمات وغير ذلك. وتبدو هذه الأذونات مناسبة لوظائف هذه التطبيقات. هل يعني هذا أنه يمكننا الثقة بها؟
ليس بالضرورة، فعلى الرغم من أهمية الأذونات في مسألة الحفاظ على الخصوصية، إلا انه لا يمكن معاملة الأمر على أنه منفصل عن العوامل الأخرى كالتعمية (Encryption) وكون التطبيق مفتوح المصدر.
مثلًا، تتشابه الأذونات التي يطلبها تطبيق تكست سكيور مع بعض الأذونات التي يطلبها تطبيق واتسآب. فلماذا نوصي باستخدام التطبيق الأول ونحذر من الثاني؟
الأمر ببساطة يرجع إلى عاملين، الأول يتعلق بالتعمية، فتطبيق تكست سكيور يُعمي الرسائل وبيانات المستخدمين ولا يحتفظ بالرسائل وجهات اتصالك على الخوادم الخاصة به، بالإضافة لكونه تطبيقًا مفتوح المصدر. كل هذه المميزات لا تتوفر في واتسآب. نفس التحفظات تنطبق كذلك على تطبيقات مثل فايبر وفيسبوك ماسنجر وسكايب وغيرهم.
القاعدة الثانية: الأفضلية للتطبيقات مفتوحة المصدر
عمومًا، لا يمكنك الثقة بشيء لا تعرفه، أو لا تعرفه كُلّه. التطبيقات مفتوحة المصدر توفّر للجميع الاطلاع على شيفرتها المصدرية (الأكواد والأوامر البرمجية) ما يعني أنه في حالة وجود أي برمجيات خبيثة مُضمّنه بالتطبيق أو أي ثغرات برمجية؛ فإن المبرمجين والتقنيين قادرون على اكتشافها. أما إن كان التطبيق مُغلقًا، فإن أحدًا لن يستطيع مراجعة شيفرته المصدرية.
لا تعتقد أن كونك لست مبرمجًا يعني أنك لن تستطيع الاستفادة من المصادر المفتوحة، فحتى لو كنت لا تستطيع قراءة وفهم الأكواد البرمجية، فهناك شخص آخر قادر على ذلك، وهناك آلاف المبرمجين ممن يقومون بمراجعة الشيفرات المصدرية للبرمجيات المفتوحة ويكتبون مراجعات حولها وتُنشر على الإنترنت، ويمكنك أن تبحث عن مراجعات أي برنامج أو تطبيق للهواتف المحمولة على الإنترنت وستجد عشرات المراجعات المتعلقة بالأمن والخصوصية لأي تطبيق تريده.
هناك العديد من التطبيقات مفتوحة المصدر على غوغل بلاي، كما يمكنك استخدام F-Droid، وهو مستودع للتطبيقات مفتوحة المصدر فقط.
فمثلًا، تطبيقات واتسآب وفايبر وسكايب وغوغل هانج أوت وبلاك بيري ماسنجر، جميعها غير مفتوحة المصدر وبالتالي لا يمكننا فعليًا الوثوق بها لأن أحدًا لا يستطيع الاطلاع على شيفرتها المصدرية. في حين أن برامج مثل تكست سكيور أو تشات سكيور يوفّرا وظيفة التراسل النصي وفي نفس الوقت هو تطبيق مفتوح المصدر ويستخدم التعمية في عمله.
القاعدة الثالثة: الأفضلية للتطبيقات المُعمّاة
هناك مئات التطبيقات المتوفّرة على الهواتف الذكية المُخصصة للتراسل الفوري وتبادل الملفات. والتعمية ببساطة، هي تحويل البيانات (كالنصوص مثلًا) من شكلها المفهوم للإنسان إلى شكل غير مفهوم -كالرموز والأرقام على سبيل المثال- بحيث لا يمكن لأي شخص الاطلاع على هذه البيانات ما لم يكن يمتلك مفتاح فكّها. يكثُر استخدام مصطلح «التشفير» للدلالة على التعمية.
تطبيقات مثل واتسآب وفايبر وغيرهما من التطبيقات الشهيرة تستخدم طبقات تعمية ضعيفة وبعضها لا يستخدم طبقات تعمية أصلًا. بالإضافة لذلك، فهي تطبيقات غير مفتوحة المصدر وبالتالي لا يمكننا الجزم بما تفعله هذه التطبيقات خلف واجهتها. هناك مئات وربما آلاف المقالات التي تحدثت عن انتهاك واتسآب وفايبر وغيرهما لخصوصية المستخدمين. يُذكر أن مؤسسة التخوّم الإلكترونية صنفت واتسآب كأسوأ التطبيقات في مجال حماية بيانات المستخدمين، في تقريرها الصادر لسنة 2015.
موضوع التعمية هام جدًا، وأحيانًا يُستخدم بشكل مُضلل بحيث يكون واقع تطبيقه يختلف عن ما يتم تسّويقه. على سبيل المثال، أعلنت واتسآب في نوفمبر 2014 أن التطبيق يستخدم تعمية من نوع End to End، إلا أنه واقعيًا لا يمكننا الوثوق في التعمية التي يوفّرها التطبيق، أولاً لأن التطبيق غير مفتوح المصدر، وثانيًا التعمية لأن متوفّرة فقط على هواتف أندرويد، وفي حال أن كان أحد المستخدمين يستعمل هاتف iOS مثلًا فلن يكون هناك تعمية، ما يعني أن واتسآب لديها القدرة على التحكم في تعمية الرسائل أو عدم تعميتها، كما لا يمكن للمستخدم أن يعرف ما إذا كانت محادثته معماة أم لا. وثالثًا، لا يمكن التأكد من أنه لا يوجد أطراف أخرى تستطيع الحصول على مفتاح التعمية. بالإضافة لكل ما سبق، فكل ما يتم إرساله أو استقباله عبر تطبيق واتسآب يتم الاحتفاظ به على الخوادم الخاصة بالتطبيق،
مثال آخر هو تطبيق تيليغرام، الذي سُوّق على أنه البديل الآمن لواتسآب، في حين أن التطبيق يستخدم بروتوكول تعمية مخصص ولا يتبع معايير عالمية وموثوقة في التعمية. كما أن البنية التحتية للتطبيق غير مفتوحة المصدر وتطبيق الهاتف فقط هو المفتوح، وأخيرًا، يتم الاحتفاظ بالرسائل والملفات التي يتم تبادلها على خوادم التطبيق وبالتالي يمكن فك تعمية الرسائل من قبل القائمين عليه.
على الجانب الآخر، نجد تطبيق مثل تكست سكيور يوفّر إمكانيات أكثر لحماية الخصوصية في التراسل بالرسائل النصية، فهو تطبيق مفتوح المصدر بالكامل ومتاح للمراجعة من قبل الباحثين الأمنيين والتقنين وبالتالي فُرص اكتشاف الثغرات الأمنية الموجودة به أكثر من التطبيقات الأخرى المغلقة. كما أنه يوفّر تعمية قوية للرسائل من نوع End-to-End، لذا فلن يستطيع أي طرف قراءتها حتى لو قام بالتقاطها. كما أن التطبيق لا يحتفظ بأي رسائل أو ملفات يتم تبادلها عبره على الخوادم الخاصة به، وحتى الرسائل التي يتم الاحتفاظ بها على الهاتف فإن التطبيق يقوم بتخزينها معماة. تطبيق ريدفون أيضًا يشابه تكست سكيور ومن إنتاج نفس الشركة، إلا أنه مخصص لإجراء المكالمات الصوتية عبر الإنترنت وليس تبادل الرسائل النصية.
القاعدة الرابعة: اقرأ المراجعات والتقارير واطلب المساعدة
اعرف آراء الآخرين، عندما تريد تطبيقًا يؤدي وظيفة معينة، وابحث على الإنترنت أو استشر أحد المتخصصين عن أفضل التطبيقات المتاحة التي لا تنتهك الخصوصية أو تعرّض بياناتك للخطر.
العديد من المدونين التقنيين والباحثين الأمنيين والشركات العاملة في مجال الأمن الرقمي يُصدرون تقارير ومراجعات حول التطبيقات والبرمجيات. حاول أن تقرأ هذه المراجعات والتقارير لمعرفة ما إذا كنت تستخدم التطبيقات الصحيحة أم لا. هناك آلاف المبرمجين والتقنين يكتبون يوميًا مراجعات تتعلق بالأمن والخصوصية في تطبيقات الهواتف المحمولة.
فمثلًا، نشرت مؤسّسة التّخوم الإلكترونيّة تقييمًا لأدوات الاتصال من حيث درجة الآمان. ويقدم دليل الدفاع عن النفس ضد المراقبة الذي نشرته المؤسسة شرحًا لاستخدام تطبيقات الهواتف الذكية الآمنة في الاتصال (سيغنال، تكست سكيور، ريدفون، تشات سكيور). كما وفر مشروع عدة الأمان فصلًا كاملًا عن أمن الهواتف الذكية وبه معلومات مفيدة عن أفضل التطبيقات والممارسات. كما يقدم موقع سايبر أرابز مراجعات وأدلة تدريبية دوريًا، للعديد من تطبيقات الهواتف الذكية والبرمجيات.