คิดหรือว่าจะรอด! แอพส่วนใหญ่แอบเก็บข้อมูลแม้ผู้ใช้ไม่อนุญาต

ทันทีที่คุณติดตั้งแอพลงโทรศัพท์ ปฏิบัติการส่องข้อมูลส่วนตัวของคุณก็จะเริ่มทันที ตั้งแต่ขออนุญาต (Permission) เข้าถึงข้อมูลในส่วนต่างๆ อย่างตรงไปตรงมา แต่ถ้าคุณคิดว่าการ ‘ปฏิเสธ’ ไม่อนุญาต จะสามารถกันมันให้ห่างจากข้อมูลของคุณแล้วหล่ะก็ บอกเลยว่าคิดผิด

เหตุผลก็คือ SDK (Software Development Kits) ที่แอพต่างๆ ใช้เป็นพื้นฐานนั้นจะมีส่วนการอนุญาตให้ปลั๊กอินโฆษณาจากภายนอก (Third-parties) เข้ามาทำงานร่วมกับแอพ ซึ่งจุดนี้เองที่กลายเป็นช่องโหว่สำคัญทำให้ข้อมูลส่วนตัวของคุณถูกดักเข้าสู่ฐานข้อมูลของบริษัทโฆษณาอย่างลับๆ แม้เราจะไม่ได้ยินยอมพร้อมใจก็ตาม

หลักฐานที่พิสูจน์ว่าเรื่องนี้ไม่ได้มโนขึ้นมาเองคือรายงานของ Oxford University study ที่พบว่าแอพใน Google Play Store กว่า 3 ใน 4 เกี่ยวข้องกับ SDKs ของ third-parties ที่มีช่องโหว่และมีการแชร์ข้อมูลส่วนตัวของผู้ใช้งานระหว่างกันและกัน ซึ่งโดยมากมักจะเป็นแอพที่ให้ดาวน์โหลดฟรี

Oxford University study ยังเปิดเผยว่ากว่า 88% ของแอพที่ทำการทดสอบสามารถยิงข้อมูลกลับไปยังบริษัทโฆษณาที่เป็นเจ้าของโดย Alphabet (บริษัทลูกของ Google) และอีกส่วนหนึ่งไปยังบริการที่ Facebook เป็นเจ้าของ ดังนั้นจึงไม่น่าแปลกใจที่ทั้ง Google และ Facebook จะรู้จักตัวตนของคุณดี และสามารถยิงโฆษณาที่ตรงใจมาให้คุณได้ทุกห้วงขณะราวกับเวทมนต์


ตัวอย่างข้อมูลที่ถูกดักและส่งกลับไปยัง Mixpabel บริษัทวิจัยการตลาด

 

ที่น่ากลัวกว่านั้นคือ SDKs สามารถดำเนินปฏิบัติการลับอยู่เบื้องหลังแอพของมันเพื่อรวบรวมข้อมูลส่วนตัวที่ไม่ควรถูกเปิดเผย ไม่ว่าจะเป็น ชื่อ เบอร์โทร อีเมล์แอดเดรส โดยใช้วิธีการ cross-processing รวมไปถึงการแชร์ permission เช่น แอพ A มีข้อมูลโลเคชั่น แต่ B มีข้อมูลชื่อผู้ใช้งาน มันจะแบ่งข้อมูลให้กันและกันเพื่อนำไปประมวลผลต่อ

นอกจากนี้นักวิจัยของ Kaspersky Lab ยังได้ออกมาเปิดเผยว่า มีแอพแอนดรอยด์กว่า 4 ล้านตัวที่ส่งข้อมูลส่วนตัวกลับไปยังเซิร์ฟเวอร์ของบริษัทโฆษณาโดยไม่มีการเข้ารหัสข้อมูลใดๆ ทั้งชื่อ เบอร์โทร อีเมล์ รายได้ รวมไปถึง GPS Location

เช่นเดียวกับ Electronic Frontier Foundation (EFF) ที่ดำเนินการสืบสวนและตรวจพบว่ามีบริษัทวิจัยการตลาด 4 แห่งที่ได้รับข้อมูลส่วนตัวผู้ใช้งาน ไม่ว่าจะเป็น ชื่อ หมายเลขไอพีแอดเดรส เครือข่ายโทรศัพท์ที่ใช้ และข้อมูลจากเซนเซอร์ในโทรศัพท์ มาจากแอพ Amazon Ring โดย EFF ยังเปิดเผยว่า SDK สองตัวคือ Appflyer และ Facebook Graph นั้นเป็นตัวการสำคัญในการดักข้อมูลส่วนตัวของผู้ใช้งานทั่วโลก


ภาพ: diditaltrends

 

วิธีการป้องกันและเอาตัวรอด
ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูลแนะนำว่า ถ้าเป็นไปได้การใช้ Web App บนสมาร์ทโฟนผ่านเว็บบราวเซอร์จะช่วยให้เราสามารถบล็อกบรรดา Tracker จากฟีเจอร์ในตัวของบราวเซอร์ ซึ่งแอพยอดนิยมส่วนใหญ่ไม่ว่าจะเป็น Instagram, Tinder, Facebook จะมี Web App ให้ใช้งานได้นอกเหนือจากโมบายล์แอพปกติ นอกจากนี้ยังช่วยประหยัดพื้นที่ในการติดตั้งแอพและหน่วยความจำได้อีกด้วย

ข้อมูล:
https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf
https://www.eff.org/deeplinks/2020/01/ring-doorbell-app-packed-third-party-trackers
https://searchsecurity.techtarget.com/answer/How-do-SDKs-for-ad-networks-cause-data-leaks