يفتح مئات ملايين المسلمين يومياً تطبيقات مختلفة لمعرفة أوقات الصلاة، وقراءة القرآن، ومعرفة اتجاه القبلة، وبينما تبدو بعض التطبيقات أدوات خدمية محدودة الوظائف، فإن التدقيق في بعض أنواع البيانات التي تجمعها عن المستخدمين يُظهر أنها تجمع نطاقاً واسعاً من المعلومات، يشمل في بعض الحالات بيانات شخصية وأخرى حساسة، ومن تلك التطبيقات تطبيق 'بادي سابا كاليندر' وMuslim Pro، في إيران، حيث كشف موقع 'بروبيلكا' الاستخبارتي عن استهداف بعض القيادات الإيرانية ومعرفة أماكنهم من خلال هذا التطبيق الذي تم أختراقه من جانب إسرائيل.
اختراق تطبيق إيراني ساهم في اغتيالات القادة
وما جرى في حادثة اختراق التطبيق في إيران لا يعني بالضرورة أن جميع التطبيقات الدينية الأخرى قد تواجه السيناريو ذاته، إلا أنه يلفت الانتباه إلى هذا النوع من الخدمات في ظل انتشارها الواسع، وطبيعة وحجم بعض البيانات التي قد تجمعها، كما يثير ما حدث أسئلة حول ماذا تجمع هذه التطبيقات تحديداً، ومع من قد تتشارك بيانات مستخدميها، وما إذا كانت جميع هذه البيانات ضرورية لعملها.ويُظهر البحث في التطبيقات الدينية المخصصة للمسلمين على موقع منظمة 'Exodus Privacy'، المتخصصة في فحص تطبيقات أندرويد لرصد متتبعات البيانات والأذونات المضمنة فيها، أن بعض هذه التطبيقات يضم أكثر من 10 متتبعات، فيما تتجاوز الأذونات التي تطلبها عشرات الصلاحيات.
ولا تعني هذه الأرقام وجود استخدام غير مشروع للبيانات، لكنها تعكس اتساع نطاق الوصول الذي تمنحه هذه التطبيقات لنفسها داخل أجهزة المستخدمين، ما يعزز أهمية التدقيق في طبيعة هذه الأذونات، والغرض منها، ومدى ارتباطها بالوظيفة الأساسية للتطبيق.
من التطبيقات التي رصدها الموقع تطبيق Muslim Pro، أحد أشهر التطبيقات الدينية، والذي أُطلق عام 2010، ووفق ما ذكر موقعه الرسمي، بلغ عدد تنزيلاته 180 مليوناً حول العالم، بينها 100 مليون تنزيل عبر متجر Google Play وحده.
يتبع التطبيق شركة Bitsmedia Holdings Ltd المسجلة في سنغافورة، وبحسب ما يعلنه التطبيق في سياسة الخصوصية وصفحاته التعريفية، فإنه يجمع نطاقاً واسعاً من البيانات عن المستخدمين، من شأنها المساعدة في تحديد الهوية، وأخرى تتصل باستخدام التطبيق ونشاط المستخدم، فضلاً عن معلومات شخصية إضافية تثير أسئلة بشأن مدى ضرورتها لعمل التطبيق الأساسي، ولكن بتتبع تلك الشركة تم الكشف عن أن أحد الشركاء بها رجل أعمال أمريكي لم يتم ذكر اسمه، وبالتتبع أكثر تم معرفة أنه حدث أختراق إسرائيلي لهذا التطبيق في إيران لجمع معلومات عن القيادات الإيرانية واماكن تواجدهم بمجرد فتح التطبيق.
بيانات تسجيل شركة Bitsmedia التي تمتلك تطبيق 'مسلم برو' – opencorporates، في صفحة التطبيق على متجر جوجل بلاي، يذكر Muslim Pro أنه يجمع ما لا يقل عن 8 أنواع من البيانات، من بينها معلومات شخصية تشمل الاسم والبريد الإلكتروني ورقم الهاتف، وبيانات مالية، ومعرّف الجهاز، إضافة إلى إمكان الوصول إلى الصور.
غير أن سياسة الخصوصية الخاصة بالتطبيق تكشف إفصاحات إضافية لم ترد في صفحته على متجر 'غوغل بلاي'، إذ تنص صراحة على أن التطبيق 'قد يجمع معلومات شخصية حساسة عن طريق الاستنتاج، ولا سيما في ما يتعلق بالمعتقدات الدينية'، وتُدرج هذا النوع من البيانات ضمن ما تصفه بـ'المعلومات الشخصية الحساسة'.
وتضيف السياسة ذاتها: 'إذا كنت تعترض على جمعنا لهذه المعلومات الحساسة، فلن تتمكن من استخدام تطبيق مسلم برو، وننصحك بالتوقف عن استخدامه'.
كيف وقع القادة في هذا الفخ؟
سياسة تطبيق مسلم برو تخدم مئات المسلمين حول العالم، وتنص سياسة الخصوصية أيضاً على جمع بيانات أخرى، من بينها تاريخ الميلاد والجنس، إضافةً إلى بيانات الموقع الجغرافي الدقيق عبر خطوط الطول والعرض من أجل تحديد الموقع،ويثير نطاق هذه البيانات تساؤلات عند مقارنته بتطبيقات دينية أخرى شملتها العينة وتؤدي وظائف مماثلة، لكنها تعلن جمع نطاق أقل من البيانات، لكنها لا تقدم الخدمات ذاتها لأن التطبيق يجمع جميع اللغات وجميع الطوائف بين السنة والشيعة والدروز لذا فهو الاستخدام الأمثل لأي طائفة وفي هذا الصدد، قالت الشركة المسؤولة عن التطبيق، إن 'مسلم برو يُعد منصة شاملة تتجاوز بكثير مجرد مواقيت الصلاة، والوصول إلى القرآن، وتحديد اتجاه القبلة. ويتم جمع بعض المعلومات لدعم ميزات محددة وتحسين تجربة المستخدم'.
وبررت الشركة جمع معلومات متعلقة بتاريخ الميلاد والجنس، بالقول: 'يجمع تاريخ الميلاد والجنس ضمن ميزة مجتمع 'الأمة' لدينا للمساعدة في ضمان أن يظل المحتوى ملائماً ومناسباً للمستخدمين حيث يعد إدخال الجنس اختيارياً، بينما يُعد تاريخ الميلاد حقلًا إلزاميًا لهذه الميزة.
أما أرقام الهواتف، فلا تُجمع إلا في أسواق محددة حيث يُتاح تسجيل الدخول عبر الهاتف كخيار مريح، نحن نعتمد نهجاً قائماً على الغرض في جمع البيانات، بحيث يخدم كل عنصر بيانات وظيفة واضحة،ويتم تخزين جميع المعلومات بشكل آمن في أنظمتنا، ولا نشارك البيانات الشخصية مع أطراف ثالثة'. وفق قولها.
ولا يقتصر الأمر على جمع البيانات الشخصية، إذ تُقر سياسات خصوصية عدد من هذه التطبيقات بمشاركتها مع أطراف ثالثة، وعادةً ما تُبرَّر هذه المشاركة بأغراض من بينها الإعلانات والتسويق والبحث والتطوير.
كيف اخترقت إسرائيل التطبيق؟
تعتمد استراتيجيات الاختراق السيبراني المنسوبة لشركات الاستخبارات التقنية، مثل 'NSO' وغيرها، على استغلال ما يُعرف بثغرات 'اليوم الصفر' (Zero-Day)، وهي ثغرات برمجية غير مكتشفة في أنظمة تشغيل 'أندرويد' و'iOS'. لا يتم اختراق متجري 'جوجل بلاي' أو 'أبل ستور' بشكل مباشر في الغالب، بل يتم عبر هندسة تطبيقات تبدو شرعية تماماً (ألعاب، تطبيقات أدوات، أو حتى تطبيقات دينية) تعمل كـ 'حصان طروادة'، بمجرد تحميل المستخدم للتطبيق، تقوم البرمجية الخبيثة بتجاوز 'صندوق الحماية' (Sandbox) الخاص بنظام التشغيل، مما يمنح الجهة المخترقة وصولاً كاملاً للكاميرا، الميكروفون، والرسائل المشفرة دون أن يلحظ المستخدم أو تكتشف الخوارزميات الأمنية للمتجر أي نشاط مريب.
تنتقل الحرب السيبرانية إلى مستوى أكثر تعقيداً عبر تقنيات 'النقر الصفر' (Zero-Click)، حيث يمكن اختراق الجهاز بمجرد إرسال رسالة غير مرئية عبر تطبيق مشهور متاح على المتاجر الرسمية، دون الحاجة لضغط المستخدم على أي رابط. هذه البرمجيات المتقدمة صُممت لتكون 'شبحية'؛ فهي تمسح أثرها فور تنفيذ المهمة، وتستهدف قنص البيانات من داخل التطبيقات الموثوقة التي يحملها المستخدم من 'جوجل بلاي' أو 'أبل'. وتشير التقارير التقنية إلى أن هذا الاختراق يعتمد على ميزانيات ضخمة لشراء الثغرات الأمنية من 'السوق السوداء' للمبرمجين، مما يجعل الهواتف الذكية، برغم جدران حمايتها، مجرد نوافذ مفتوحة أمام أدوات التجسس التي تتطور بسرعة تتجاوز قدرة الشركات المصنعة على التحديث والترقيع الأمني.
وبينما تستمر هذه التطبيقات في أداء وظائفها اليومية لملايين المستخدمين، يظل السؤال قائماً: إلى أي حد يدرك المستخدمون طبيعة البيانات التي يشاركونها، وما الذي يحدث لها بعد ذلك؟
تابعوا آخر أهل مصر على Google News
