აპლიკაცია Yandex.Taxi-ს გამოყენების რისკები
Yandex.Taxi ერთი-ერთი პოპულარული გადადგილების აპლიკაციაა, რომელიც საქართველოშიც ფართოდ გამოიყენება. მოგეხსნებათ, კომპანია რუსულია და ისიც ცნობილია, რომ რუსეთის მმართველი ძალა, მომხმარებელთა პერსონალური ინფორმაციის დაცვას მაინცდამაინც დიდ ყურადღებას არ უთმობს – ეს თავად Yandex.Taxi აპლიკაციის Privacy Policy-შიც წერია: „Russia is a jurisdiction outside the European Economic Area, which has not been recognized by the European Commission as providing an adequate level of personal data protection“. ამდენად, საინტერესოა რა რისკებს შეიცავს აღნიშნული აპლიკაციის გამოყენება.
2018 წლის ზაფხულში, Yandex.Taxi-მ ლიეტუვაში დაიწყო საქმიანობა. აპლიკაციამ მაშინვე მიიქცია ყურადღება როგორც მომხმარებლების, ისე ქვეყნის მმართველი მოხელეების მხრიდან განსაკუთრებით დიდი რაოდენობით უფლებების (permissions) მოთხოვნის გამო. ლიეტუვას პრემიერ მინისტრმა, ეკონომიკის მინისტრმა და პარლამენტის არაერთმა წევრმა, საჯაროდ მოუწოდა მოსახლეობას არ გამოეყენებინათ აპლიკაცია. ამასთან, მოითხოვეს აპლიკაციის სათანადო შემოწმება.
აპლიკაციის შემოწმება თავის თავზე აიღო ლიეტუვას კიბერ უსაფრთხოების ეროვნულმა ცენტრმა და ცოტა ხანში დასკვნაც გამოქვეყნა.
ანალიზის შედეგები
აპლიკაციის ანალიზმა აჩვენა, რომ Yandex.Taxi ითხოვს ბევრ სენსიტიურ ინფორმაციაზე წვდომას და კიდევ უფრო მეტ უფლებებს (permissions). მოთხოვნილი უფლებები აპლიკაციას საშუალებას აძლევს განახორციელოს შემდეგი ქმედებები: კამერისა და მიკროფონის ჩართვა/გამორთვა (სურათების და ვიდეოების გადაღება, ხმის ჩაწერა), კონტაქტების სიაზე წვდომა, ზარების კონტროლი, ტელეფონის სტატუსისა და იდენტობის შესახებ ინფორმაცის მიღება, მესიჯების კონტროლი (მესიჯების წაკითხვა), ფაილების მოდიფიკაცია და წაშლა, GPS კოორდინატების გამოთვლა და GPS მონაცემებზე წვდომა, ქსელთან წვდომის მართვა (მონაცემებისა და კავშირის მონიტორინგი, Wi-Fi-სთან წვდომის კონტროლი).
აქვე უნდა შევნიშნოთ, რომ აპლიკაციის მიერ მოთხოვნილი უფლებები მუდმივად იცვლება განახლების დროს, ზოგჯერ მატულობს, ზოგჯერ კი კლებულობს. უფლებების ასეთი ცვლილება შეიძლება სახიფათო აღმოჩნდეს და გამოყენებული იქნეს მომხმარებლის დამატებით მონაცემებზე წვდომის მოსაპოვებლად ნებისმიერ დროს. მაგალითად, ერთი განახლების დროს დაემატება უფლებები, მოიპოვებს აპლიკაცია შესაბამის მონაცემებს, გაგზავნის სერვერებზე და მალევე გამოვა მეორე განახლება, სადაც ეს უფლებები აღარ არის, განახლებაში კი აღნიშნულია, რომ მოხდა „ოპტიმიზაცია და ფუნქციების გაუმჯობესება“.
შედარებისთვის, სურათზე თქვენ ხედავთ Yandex.Taxi-სა და Taxify-ს (ესტონური კომპანია) მიერ მოთხოვნილი უფლებების შედარებას. თავიდანვე თვალში საცემია პროფილების დამატების ფუნქცია Yandex.Taxi-ში. შემდეგ ზედმეტია მედია ფაილებზე წვდომის ფუნქცია და USB Storage-ს წაკითხვა, მოდიფიკაცია, წაშლა, ასევე მიკროფონის გამოყენების ფუნქცია (ხმის ჩაწერა). ბოლოს კი დამატებით უფლებებში: პროფილის შექმნა და პაროლის დადება, სინქრონიზაციის ჩართვა/გამორთვა, Wi-Fi-სთან მიერთება საკუთარი (აპლიკაციის) ნებით, აუდიო ფუნქციების შეცვლა, პროფილების გამოყენება, ქსელზე სრული წვდომა, ქსელური კავშირების წაკითხვა, სინქრონიზაციის ფუნქციის მდგომარეობის შესახებ ინფორმაციის მიღება.
უსაფრთხოების მხრივ აპლიკაცია საკმაოდ დაცულია და მონაცემთა გაგზავნისთვის იყენებს დაშიფრულ კავშირებსა და სტანდარტულ პორტებს.
ანალიზის მომენტისთვის, Yandex.Taxi დაშიფრული კავშირის მეშვეობით პერიოდულად უკავშირდებოდა და აგზავნიდა მონაცემებს 11 უნიკალურ IP მისამართზე, საიდანაც 10 რუსეთს ეკუთვნის. მონაცემები იგზავნებოდა მუდმივად განსხვავებული ინტერვალებით და შემთხვევითი შერჩევის პრინციპით (random). აპლიკაციას შეუძლია მონაცემები გააგზავნოს რუსეთის სხვადასხვა რეგიონში დროის სხვადასხვა მონაკვეთში, არამხოლოდ მაშინ როდესაც ის აქტიურად გამოიყენება, არამედ მაშინაც, როდესაც გამორთულია. ამასთან, აპლიკაცია მუდმივად ინარჩუნებს კავშირს 3 რუსულ IP მისამართთან. ცხრილში მოცემულია რომელ სერვისს, როდის უკავშირდება აპლიკაცია (IP მისამართები არ საჯაროვდება):
| აპლიკაციის სახელი: Yandex.Taxi | ||||
| # | ქალაქი | ჰოსტნეიმი | მონაცემთა გადაცემა არააქტიურ მდგომარეობაში | მონაცემთა გადაცემა აქტიურ მდგომარეობაში |
| 1 | მოსკოვი | *.yandex.net | დიახ | დიახ |
| 2 | მოსკოვი | *.yandex.net | დიახ | არა |
| 3 | მოსკოვი | *.yandex.net | დიახ | არა |
| 4 | ნიუ ჯერსი | *.linode.com | დიახ | დიახ |
| 5 | ეკატერინბურგი | *.yandex.net | დიახ | დიახ |
| 6 | მოსკოვი | *.yandex.ru | არა | დიახ |
| 7 | ეკატერინბურგი | *.yandex.ru | არა | დიახ |
| 8 | ეკატერინბურგი | *.yandex.net | არა | დიახ |
| 9 | ეკატერინბურგი | *.yandex.net | არა | დიახ |
| 10 | მოსკოვი | *.yandex.net | არა | დიახ |
| 11 | მოსკოვი | *.yandex.ru | არა | დიახ |
ლიეტუვას სახელმწიფო უსაფრთხოების დეპარტამენტის მიერ მომზადებულ წლიურ რეპორტში ვკითხულობთ: „რუსეთის სადაზვერვო და უსაფრთხოების სამსახურებს გააჩნიათ როგორც კანონიერი ნებართვა, ისე ტექნიკური საშუალებები იმ რუსი და უცხოელი მოქალაქეების მონაცემებზე წვდომისთვის, რომლებიც რუსულ ელექტრონულ კომუნიკაციის საშუალებებს იყენებენ“. საფრთხის ანალიზის ნაწილში კი მითითებულია: „ლიეტუვას ყველა მოქალაქეს, რომელიც რუსულ სოციალურ მედიას თუ მეილ სერვისებს იყენებს (odnoklassniki, yandex, mail.ru და სხვა) ემუქრება რეალური საფრთხე, რომ მათი პერსონალური მონაცემები გამოყენებული იქნება რუსეთის სადაზრვერვო და უსაფრთხოების სამსახურების მიერ“. ეს ბუნებრივია ქართველ მომხმარებლებსაც შეეხებათ.
ზოგადი რეკომენდაციები
პირველ რიგში, აპლიკაციები გადმოწერეთ მხოლოდ ოფიციალური რესურსებიდან (Google Play, App Store).
სანამ აპლიკაციას გადმოწერდეთ ჯერ კარგად დააკვირდით რეიტინგს, უარყოფით და დადებით შეფასებებს, ჩამოტვირთვების რაოდენობას.
გაეცანით უფლებების სიას (permissions). თუ ისინი არარეალურად ბევრია მოცემული აპლიკაციისთვის, მაშინ გამოიყენეთ სხვა მსგავსი აპლიკაცია, რადგან დიდი შანსია პლიკაციას ფარული ფუნქციები გააჩნდეს და თქვენი მონაცემების მოპარვაზე იყოს ორიენტირებული.
დააყენეთ მობილური უსაფრთხოების აპლიკაცია (ანტივირუსი სმარტფონისთვის).
და ბოლოს, შეინახეთ თქვენი მოწყობილობის მონაცემთა ასლები გარკვეული პერიოდულობით (backup) ან ჩართეთ ავტომატური backup-ის ფუნქცია.
მიხეილ ნინუა