בכל פעם שמתקינים אפליקציה שהורדה מגוגל פליי, מועברים אוטומטית למסך ההרשאות הדרושות לאפליקציה. אפליקציות רבות דורשות גישה לזהות של המשתמש, לתמונות ולסרטונים, לחיבור ה־Wifi, להודעות הכתובות ועוד. רובנו פשוט לוחצים "אישור", וממשיכים הלאה. אך לאישור הזה יש השלכות, וחשוב לדעת מהן.
אחד התחומים הכי רווחיים בתחום איסוף הנתונים ממכשירי סלולר הוא כתובת מייל ואנשי קשר. אלה יכולים להיאסף ממכשיר המשתמש, אם הוא אישר לאפליקציה שיתוף אנשי הקשר ולוח השנה. כך למשל, וירוס בשם FireLeaker, שהתגלה ב־2014, אסף עשרות מיליוני מספרי טלפון וכתובות מייל, ונמכר לחברות דאטה שונות.
רכישות מתוך האפליקציה – אישור זה יאפשר למשתמש או לילדיו לבצע רכישות באופן אוטומטי כדי לעבור שלב או לשדרג אפשרויות אוטומטית, באמצעות כרטיס האשראי המשויך לחשבון גוגל.
אישור "הרשאה להודעות טקסט" מאפשר לקרוא ואף לשלוח הודעות מהטלפון של המשתמש באופן אוטומטי וללא ידיעתו. ב־2014 גילתה חברת Panda Labs שאפליקציה המיועדת לדיאטה, שהותקנה על ידי יותר מ־300 אלף משתמשים, רשמה אותם באמצעות אישור תנאי השימוש שלה לשירות קבלת הודעות טקסט בתשלום. כך גם לגבי "הרשאה לשימוש בטלפון"; ב־2013 נחשפה תוכנת מאלוור בשם MouaBad, שאפשרה לגורמים עלומים לבצע שיחות באמצעות מכשיר המשתמש ללא ידיעתו.
עוד הרשאה בעייתית היא הרשאה לגישה לתמונות, לדאטה ולקבצים. משום מה הרשאות אלה מגיעות כמקשה אחת. לדוגמה, אפליקציה בשם Pixer שעדיין
ניתנת להורדה, שלאחר הסכמת המשתמש מעלה ללא ידיעתו תמונות שלו לשרתיה.
ההרשאה לשימוש במצלמה ובמיקרופון נשמעת כאילו היא רלוונטית רק עבור מרגלים וסוכנויות ביון. אך יש לא מעט גורמים המעוניינים לצלם אתכם בלי ידיעתכם. אפליקציה בשם PlaceRaider למשל עלולה לצלם את החדר של המשתמש ללא ידיעתו, ובאמצעות צירוף התמונות לשחזר איך כל החדר נראה.
ההרשאה לזהות של הטלפון ומידע על שיחות מאפשרת לאפליקציה לגשת למספר המכשיר של המשתמש, ה־IMEI, שהוא מספר זהות ייחודי לכל מכשיר.
למעשה מי שמחזיק במספר הזה יכול לשכפל אותו ולהפעיל מכשיר זהה לשל המשתמש, תחת שמו. מדובר בסוג חדש של גניבת זהות, והחשבון בסופו של דבר מגיע למשתמש. עם זאת, ההרשאה הזאת נועדה גם לספק מידע מתי נכנסת שיחה, כדי להשהות את המשחק שבו משחק המשתמש כשנכנסת שיחה.
הרשאה נוספת שכדאי להיזהר ממנה היא הרשאת גישה להיסטוריית המכשיר והאפליקציות. אישור כזה יאפשר גישה למידע רב על המשתמש, למשל באילו אתרים ואפליקציות הוא ביקר. על פי המרגל האמריקאי אדוארד סנודן, את כל אלה אוספות רשתות ביון דוגמת ה־NSA האמריקאית כדי להרכיב פרופילים של אזרחים.
הרשאה אחרת היא הרשאה למידע על מיקומכם. ב־2012 נחשף המאלוור TigerBot, ששולח את מיקום ה־GPS של המשתמש ומידע נוסף למקורות לא ידועים. מומלץ להימנע מכך, אלא אם מדובר באפליקציות המיועדת לכך, דוגמת ווייז ודומותיה.
אפליקציות זדוניות שכאלה ידועות בתחכומן, והן מופיעות בעמוד השירותים הפועלים תחת השם System עם אייקון של גוגל ליד, כדי שהמשתמשים לא יבינו שמדובר בתוכנה זדונית.
בנוסף להרשאות השכיחות הללו, אפליקציה יכולה לבקש הרשאה לדברים ספציפיים יותר, כמו קריאת ההודעות של המשתמש ברשתות חברתיות, גישה מלאה לרשת או שליטה במכשיר.
ההרשאות הללו שהמשתמשים מעניקים לאפליקציות הן אינן הסכנות היחידות. רק לפני מספר שבועות טענה חברת האבטחה Data־G שמצאה 26 דגמים של מכשירים סלולריים שמקורם בסין, ובהם כבר מותקנות תוכנות ריגול; בין היצרנים הגדולים נמצאו לנובו ו־Xiaomi. ככל הנראה, האחראי לכך הוא אינו היצרן עצמו, אלא גורם שלישי.
דוגמה נוספת למשיכת מידע וכסף היא תוכנות המקפיצות מודעות על וירוסים ואיומים שתקפו לכאורה את מכשיר המשתמש. לרוב אלו פרסומות המופיעות באפליקציות שונות, שבסופן יש בקשה לתשלום. פרסומות אלה נועדו לגרום למשתמש לחשוב שמכשירו הותקף על ידי וירוסים. דוגמה לכך היא Android Defender, סוס טרויאני שהותקן במכשירים רבים דרך אפליקציות לא קשורות והתריע על איומים הנמצאים במכשיר.
גם אפל לא בטוחה
עד כמה קל לחדור לטלפון שלכם? בתי המשפט בארצות הברית מטפלים היום בעשרות מקרים של פריצה דיגיטלית. מקרה אחד הוא זה של מורגן קולברסטון, בן 20 מפיטסבורג, שהורשע בעקבות הודאתו בפיתוח אפליקציה המשתלטת על מכשירי אנדרואיד בשם Dendroid, שאותה הציע למכירה ברשת ב־300 דולר בלבד.
בעלי מכשירי אייפון נהנים לכאורה מביטחון רב יותר. האפליקציות באייפון דורשות הרשאה לשימוש במאפיין מסוים של המכשיר רק בעת שיצטרכו להשתמש בו. אך גם במכשירים של אפל יש כשלים. אדוארד סנודן סיפר כי הוא נמנע משימוש במכשירי אייפון, כיוון שקיימת בהם "אפשרות סודית" שדרכה ניתן להפעיל מרחוק איסוף מידע בזמן אמת ללא ידיעת המשתמש. במסמכים שאסף מה־NSA התגלה כי שירותי הביון הבריטיים משתמשים במערכת UDID (מזהה אישי) של האייפון לאיתור ולמידע על המשתמשים. רק לפני מספר שבועות התגלתה תוכנה מזיקה במכשירי אייפון בשם Insomnia, השולחת נתונים לגורם שלישי; תוכנה זאת תוקנה רק בגרסת 8.4.1 iOS.
לפני כחודש דווח שמאות אלפי משתמשים של מכשירי אייפון פרוצים נחשפו למאלוור בשם KeyRaider, שאסף את פרטי הזהות שלהם ונתונים נוספים ממכשיריהם. חברת טרנד־מיקרו גילתה בפברואר כי גם מכשירים חוקיים של אפל נחשפו למאלוור דומה בשם XAgent, המאפשר לאפליקציות להפיץ את עצמן לאנשי הקשר של המשתמש. רק לאחרונה פורסם כי ניתן לפרוץ למכשירים הפועלים על iOS 9 החדשה באמצעות שירות העזרה של סירי, וכך לגשת לתמונות ולאנשי הקשר במכשיר.
איך בכל זאת יכול המשתמש לשמור על המידע שלו? מומלץ להימנע מהתקנת אפליקציות שלא ידוע תחילה מהן ההרשאות הדרושות לה. אם יש הרשאות שנראות בעייתיות, כמו אלו שפורטו מעלה, יש לשאול עליהן את המפתחים באמצעות שאלת השאלות בחנות גוגל. קיימות היום אפליקציות שבודקות בדיעבד אילו הרשאות אושרו על ידי המשתמש. אחת מהן היא F־Secure App Permissions, שבודקת אילו הרשאות אישר המשתמש ולמי יש גישה למכשיר.
למרות כל זאת חשוב לציין כי רוב הבקשות להרשאה הן לגיטימיות והכרחיות כדי לאפשר שימוש אופטימלי באפליקציה. למשל לטובת שירות הודעות המאפשר שליחת קטעי קול או צילום תמונות, יש לאפשר גישה למיקרופון ולמצלמה של המשתמש. לא בהכרח מדובר בכלי למטרות איסוף מידע על המשתמש או שימוש זדוני בתוכן, אך יש לזכור כי יש גם כאלה שכן מעוניינים בכך. לתשומת לבכם.