Zezwolić aplikacji na wszystko? Nie dajmy się zwariować, tylko pilnujmy swojej prywatności

"Czy zezwolić aplikacji X na robienie zdjęć/dostęp do…" – powtarzana jak mantra formułka jest znana praktycznie każdemu użytkownikowi smartfona. Tekst ten opatrzył się już do tego stopnia, że często bezwiednie klikamy "zezwól". W końcu chodzi o korzystanie z funkcji programu, prawda? Twórcy doskonale o tym wiedzą. I próbują wykorzystać to na swoją korzyść.

Moja dobra koleżanka zaopatrzyła się niedawno w telefon pewnej popularnej w Polsce chińskiej firmy. Wszystko jest w porządku, aparat działa jak należy, przejście z innego systemu operacyjnego na Androida okazało się dość płynne. Ostatnio jednak pojawił się pewien zgrzyt. Dlaczego? Koleżanka ta postanowiła uruchomić wgrany systemowo kompas. Po włączeniu ujrzała poniższe powiadomienie.

Uwagę zwraca to, że stosunkowo prosta aplikacja wymaga od nas dostępu do naszego aparatu. Pytanie tylko po co? Cóż, w chwilach takich jak ta przypomina się stare porzekadło, że jeśli coś jest za darmo, to ty jesteś produktem. Albo nawet gorzej.

Wiosną 2017 roku niemały skandal wywołała aplikacja "Flashlight Widget". Pozornie niegroźny program pozwalał korzystać z naszego smartfona jakby był latarką. W rzeczywistości jednak zawierała ona drugie, szkodliwe dno. Program wykradał bowiem wrażliwe dane ze smartfona, na którym go zainstalowano. Loginy i hasła do Facebooka, Instagrama, Whatsappa, nawet aplikacji bankowych – nic nie było bezpieczne. Wystarczyło je bowiem wpisać, by aplikacja wysyłała je na zewnętrzne serwery. Przy okazji próbując zablokować urządzenie. Pełen pakiet złośliwego oprogramowania w jednej aplikacji.

Czy użytkownicy są pozostawieni sami sobie? Prezeska Fundacji Panoptykon, Katarzyna Szymielewicz, w rozmowie z WP Tech przypomina, że na szczęście tak nie jest.

- W przypadku aplikacji takiej jak kompas, zrozumiałe jest, że będzie potrzebować dostępu do GPS. I w tym zakresie nie potrzebuje ode mnie dodatkowej zgody. Na gruncie prawa europejskiego wolno jej zbierać to, co niezbędne do prawidłowego funkcjonowania i świadczenia zamówionej przez użytkownika usługi – wyjaśnia. - Jeśli producent aplikacji chce pozyskać dodatkowe dane – na przykład mój adres email – będzie potrzebował na to mojej zgody. W żadnym wypadku aplikacja nie powinna zaglądać w moje kontakty czy wiadomości sms – nawet jeśli użytkownik się na coś takiego zgodził, żeby mieć spokój. Według prawa UE zbieranie danych, które są nieadekwatne do celu, jest zakazane – podkreśla.

Czy Polscy konsumenci zdają sobie sprawę, na co się piszą? Szymielewicz, opierając się na badaniach konsumenckich, odnosi wrażenie, że ludzie przynajmniej "wiedzą, czego nie wiedzą". Mają świadomość, że tak zwana polityka prywatności i warunki świadczenia usług w sieci przerastają ich możliwości zweryfikowania dokładnych zezwoleń. Z drugiej strony odczuwają z tego powodu dyskomfort: źle się czują w sytuacji, w której aplikacje wiedzą na ich temat więcej niż powinny.

Według prezeski, problem wymuszania danych i śledzenia poza kontrolą użytkownika dotyczy zwłaszcza programów tworzonych poza Unią Europejską. Ostrzega, że na rynku funkcjonuje mnóstwo aplikacji, zarejestrowanych w Chinach czy USA, które nie tylko nie przejmują się unijnym prawem, ale wręcz ostentacyjnie są nastawione na eksploatowanie naszych danych osobowych. A jako przykład podaje właśnie feralną latarkę. I choć prawo próbuje chronić użytkownika, nie zawsze mu się to udaje. Szykują się jednak poważne zmiany w przeciągu nadchodzących kilku miesięcy.

- Takie reguły już dziś obowiązują, ale nie są one skuteczne i nie mogą być jeszcze egzekwowane w stosunku do firm, które przetwarzają nasze dane poza UE. Od maja bieżącego roku to się zmieni – podkreśla Szumielewicz. - Zaczną obowiązywać wysokie sankcje za naruszanie zasad ochrony danych osobowych, a zasięg prawa europejskiego obejmie również zagraniczne firmy. Osłona w postaci lokalizacji w Chinach czy USA zniknie. To duża zmiana – zamiast adresu siedziby czy lokalizacji serwera, kluczowa będzie lokalizacja użytkownika, któremu usługa jest oferowana i którego dane są zbierane. Jest szansa, że ta zmiana podziała mrożąco na rynek śledzących i wyłudzających dane aplikacji – uważa.

Piotr Kupczyk z Kaspersky Lab Polska podkreśla, że bezpieczeństwo, jak zwykle, zaczyna się od użytkownika.

- W kontekście cyberbezpieczeństwa najbardziej rozsądne jest podejście, by udostępniać jak najmniej danych firmom zewnętrznym. Aplikacje żądają coraz więcej – czasem jest to uzasadnione, na przykład komunikator będzie potrzebować dostępu do naszych kontaktów. Tak ta aplikacja w końcu działa. Trzeba wiedzieć, że każda nowa aplikacja czegoś wymaga i warto to dokładnie sprawdzić – tłumaczy WP Tech. - Najważniejszą kwestią jest zawsze odpowiednie uzasadnienie dla dostępów. Jeśli aplikacja potrzebuje czegoś nietypowego, podejrzenie o próbę zarobienia na naszych danych nie jest bezzasadne. Notatnik nie potrzebuje dostępu do naszej książki telefonicznej – argumentuje.

Zdaniem Kupczyka, na pewno jesteśmy zobojętnieni na udostępnianie naszych danych. Powszechność tej sytuacji powoduje, że nasza czujność jest uśpiona, a części osób nie zależy, bo wychodzą z założenia, że nie mają nic do ukrycia. To błędne myślenie, uważa ekspert. Inne osoby jednak przejmują się, jakie informacje o nich krążą po sieci. Musimy panować nad tym, co udostępniamy, dodaje.

- Zbliżamy się jednak do masy krytycznej, jeśli chodzi o tolerancję dla takich aplikacji. Z mojego punktu widzenia coraz więcej osób selektywnie podchodzi do treści, które trafiają do sieci – zauważa Kupczyk z pewną nutką optymizmu.

Istnieje jednak drugi punkt widzenia na całą sprawę związaną z zezwoleniami. Opisywaliśmy niedawno, że firma Selectivv Mobile House, dzięki informacjom udostępnianym przez użytkowników stworzyła infografikę, kto uczestniczył w zeszłorocznym sylwestrze w Zakopanem.

Jacek Dymkowski, commercial director firmy, odpowiedział WP Tech, jak sprawę widzi przedsiębiorstwo z branży marketingu mobilnego.

- Nie widzimy nic złego w tym, że część informacji jest udostępniania w zamian za bezpłatną aplikację. Ten model jest znany już od wielu lat. Widzimy rosnącą świadomość użytkowników dotyczącą tego, co udostępniają. Proszę spojrzeć na wzrost popularności adblocków – to konsekwencja tego, że Polaków przez długi czas męczono nachalnymi reklamami, których nie chcieli otrzymywać – przypomina w rozmowie z WP Tech.

- Część aplikacji dostaje dostęp do funkcji, które są jej pozornie zbędne. Na przykład aplikacje bankowe mają dostęp do naszej lokalizacji. Można się zastanawiać, dlaczego, ale zazwyczaj pozwala to znaleźć najbliższy bankomat. Niektóre funkcje są potrzebne, by aplikacja prawidłowo działała. Pamiętajmy jednak, że nie da się już stworzyć prostej aplikacji, która wymaga zezwoleń na wszystkie dane w smartfonie. Sklepy Google czy Apple nie pozwalają i tępią takie programy. Dostępy są uzależnione od tego, czy aplikacja faktycznie ich potrzebuje. Jeśli będzie zbyt intruzywna, to nie będzie dopuszczona do obrotu w Google Play czy App Store – podkreśla Dymkowski.

Morał z tego jest dość prosty – szkodliwe aplikacje będą miały coraz trudniej w Polsce. Nie tylko z powodu obostrzeń narzuconych przez markety, ale także z powodu unijnych regulacji, które zostaną zaostrzone za kilka miesięcy. Nie zwalnia nas to jednak z czujności. Wystarczy, by jedna aplikacja przeszła przez sito selekcji, by potem pluć sobie w brodę.