21 05 2018

وجد الباحثون أن جزءًا كبيرًا من تطبيقات الأطفال الرائجة قد تتعارض مع تشريع الخصوصية في الولايات المتحدة عن طريق جمع البيانات بشكل غير صحيح - وإن كان ذلك غالبًا ما يكون عن غير قصد. ولم يأت الرد من "جوجل" على النتائج التي لا تشوبها شائبة.

هناك أكثر من 3,300 تطبيق لأندرويد مخصص للأطفال على "جوجل بلاي" تقوم بجمع بيانات الأطفال بطريقة غير لائقة ، مما قد يؤدي إلى انتهاك التطبيقات لتشريعات خصوصية الأطفال في الولايات المتحدة ، حسبما توصلت إليه دراسة حديثة.

الدراسة التي تدعى "ألم يفكر أحد حول الأطفال؟" قامت بفحص أمتثال "قانون حماية خصوصية الأطفال على الإنترنت" (COPPA) مختبرة 5,855 تطبيقا من التطبيقات المعروفة و الأكثر شعبية للأطفال. ووجدت أن "57? تقريبًا" من التطبيقات - التي تصل إلى 3,337 تطبيقا - من المحتمل أن تنتهك قانون حماية خصوصية الأطفال في الولايات المتحدة عبر الإنترنت.

إن " قانون حماية خصوصية الأطفال على الإنترنت" (COPPA) يحمي الأطفال دون سن 13 عاما من جمع المعلومات الشخصية (PII). وينظم القانون كيفية السماح للتطبيقات أو الألعاب أو مواقع الويب بجمع ومعالجة البيانات الحساسة من الأطفال. وبذلك ، تمنع بعض ممارسات جمع البيانات بشكل صريح وبتم وضع الآباء أو الأمهات أو الوصي الشرعي على الطفل في كامل التحكم.

ولقد تم الإختبار على 5,855 تطبيقًا من قبل 1,889 مطورًا ، وحصلوا على 4.5 مليار عملية تثبيت للتطبيقات فيما بينهم. وهي مدرجة في 63 فئة مختلفة من "جوجل بلاي" ، و معظمها في فئات "ألعاب" مختلفة.

ما يمكن أن تصل له التطبيقات بالتحديد؟

لقد استخدم الفريق المكون من سبعة باحثين أغلبهم من الجامعات الأمريكية والكندية عملية اختبار تلقائية لاكتشاف كيفية تعامل التطبيقات مع البيانات.

ووجدوا أن الانتهاكات المحتملة جاءت في عدة أشكال. على سبيل المثال ، تمكنت 28? من التطبيقات من الوصول إلى بيانات حساسة محمية بموجب أذونات "أندرويد". ولعل الأكثر إثارة للقلق هو أن ما يقرب من 5? من جميع التطبيقات قد جمعت معلومات تحديد الموقع الجغرافي للأطفال أو معلومات الاتصال بهم ، لا سيما عنوان البريد الإلكتروني أو رقم الهاتف الخاص بمالك الجهاز ، دون إذن من أحد الوالدين.

إن هناك نسبة تقريبية حوالي ثلاثة أرباع (73?) من البيانات الحساسة مرسلة عبر الإنترنت ، ولكن 40? منها لم تطبق إجراءات أمنية معقولة بسبب عدم استخدام " بروتوكول أمان طبقة النقل " (TLS) ، وهو بروتوكول تأمين البيانات أثناء النقل.

كما حددت الدراسة أيضًا عدم امتثال محتمل لبروتوكول النقل بنسبة تقدر بـ 19? من التطبيقات التي جمعت ما يسمى بالمعرفات الدائمة (مثل رقم IMEI الفريد للجهاز أو عنوان الخادم اللاسيلكي) مع أطراف أخرى لأغراض محظورة ، لا سيما تحديد المستخدمين واستهداف الإعلانات. ووفقًا لـقانون حماية خصوصية الأطفال على الإنترنت ، تُعتبر هذه المعرّفات معلومات شخصية إذا كان يمكن استخدامها للتعرف على بيانات المستخدم و إستخدام ذلك طوال الوقت عبر مواقع وخدمات الإنترنت .

وبالإضافة إلى ذلك ، قامت 39% من التطبيقات بإرسال إعلانات "جوجل" المعروف باسم AAID مع معرف آخر (غير قابل للتغيير) إلى نفس الوجهة ، ومن الواضح أنها تعمل مخالفة لشروط خدمة برنامج "جوجل بلاي المصممة للعائلات" (DFF).

وعلق الباحثون الجزء الأكبر من اللوم على البيانات التي تنزلق على إدراج التطبيقات واستخدام طرف ثالث من "حزمة أدوات تطوير البرمجيات" (SDK). "في حين أن العديد "حزمة أدوات تطوير البرمجيات" توفر خيارات تهيئة من أجل احترام " قانون حماية خصوصية الأطفال على الإنترنت" عن طريق تعطيل التتبع والإعلان السلوكي ، فإن بياناتنا تشير إلى أن معظم التطبيقات إما لا تستخدم هذه الخيارات أو تنشرها بشكل غير صحيح عبر "حزمة أدوات تطوير البرمجيات" للتوسط" .

مع الوضع في الإعتبار, ظن الباحثون بأن "العديد من انتهاكات الخصوصية غير مقصودة وتسببها سوء فهم الطرف الثالت من "حزمة أدوات تطوير البرمجيات".

الأمر عند جوجل

أقر الباحثون بخطوات "جوجل" لضمان الامتثال لـ" قانون حماية خصوصية الأطفال على الإنترنت" ، ولكنه أضاف بأن "يبدو أنه لا يوجد حدود للحد من إنتهاك القانون". ونتيجة لذلك ، حثوا الشركة على أن تكون أكثر نشاطًا في عملية التدقيق.

من ناحية أخرى ، نقل موقع "Tom's Guide"عن متحدث باسم "جوجل" قوله ردا على النتائج:

"نحن نأخذ تقرير الباحثين بجدية تامة وننظر في النتائج التي توصلوا إليها. تعتبر حماية الأطفال والعائلات أولوية قصوى لدينا ، ويقتضي برنامج "مصصم للعائلات" (Designed for Families program) من المطورين الالتزام بمتطلبات محددة تتجاوز سياساتنا القياسية في "جوجل بلاي". وإذا قررنا أن هناك أحد التطبيقات ينتهك سياساتنا ، فسنتخذ إجراءً. نحن نقدر دائمًا عمل مجتمع الأبحاث للمساعدة في إنشاء نظام أندرويد اَمن.

© Press Release 2018