پرونده ویژه درگیری های انتخاباتی و جنگ داخلی آمریکا
18 نوامبر 2020
اوباما: اینترنت بزرگ‌ترین تهدید علیه دموکراسی ماست
21 نوامبر 2020

ارتش آمریکا چگونه اطلاعات مکانی کاربران اپلیکیشن های موبایل را بدست می آورد

گزارش VICE از پشت پرده اپلیکیشن های خدماتی موبایل

ارتش آمریکا چگونه اطلاعات مکانی کاربران اپلیکیشن های موبایل را بدست می آورد

نویسنده: جوزف کاکس (Joseph Cox)

رسانه ی آمریکایی VICE در گزارشی تحقیقی از این واقعیت پرده بردای کرده است که ارتش امریکا ریزترین داده‌های مکانی کاربران اپلیکیشن های موبایل در سراسر دنیا ، به ویژه مسلمانان را می خرد و تصاحب می کند.
این داده‌ها از اپلیکیشن‌های معمولی و به‌ظاهر بی‌خطر گردآوری شده‌اند. یکی از معروف‌تریناین اپلیکیشن ها ، یک اپلیکیشن مربوط به نماز و قرآن مسلمانان به نام «مسلمان پرو» است که بیش از ۹۸میلیون دانلود در سراسر جهان دارد. یک اپلیکیشن دوست‌یابی ایران سوشال (Iran Social) ، اپلیکیشن همسریابی و دوست‌یابی مازلم مینگل (Muslim Mingle) ،اپلیکیشن گام‌شمار اکوپِدو (Accupedo) ، اپلیکیشنی معروف از سایت کریگزلیست، اپلیکیشنی برای دنبال‌کردن اخبار آب و هوا وطوفان‌ها و اپلیکیشن (Bubble level) برای کمک به ترازکردن (مثلاً موقع نصب طاقچه‌های اتاق خواب) از دیگر اپلیکیشن‌های این فهرست هستند.
بسیاری از کاربران اپلیکیشن‌هایی که در این زنجیرۀ تامین داده وجود دارند، مسلمان هستند.
شرکت ثالث X-Mode که گفته می‌شود اطلاعات را به پنتاگون فروخته است، می‌گوید قراردادهای نظامی‌اش عمدتا بر سه محور «ضدتروریسم، امنیت سایبری و پیش‌بینی مکان‌های شیوع ویروس کرونا» متمرکز است.

از طریق داده‌های بایگانی‌شدۀ در دسترس عموم، مصاحبه با توسعه‌دهندگان اپلیکیشن‌ها و تحلیل‌های فنی، مادربورد از دو جریان داده‌ایِ مجزا و موازی پرده برداشت که ارتش ایالات متحده از آن‌ها استفاده می‌کند یا کرده است تا داده‌های موقعیت مکانی (لوکیشن) را به دست بیاورد. یکی از این جریان‌ها به شرکتی به نامِ بابِل استریت (خیابان بابل) وابسته است که محصولی با نام لوکِیت ایکس فرماندهی عملیات‌های ویژۀ ایالات متحده (USSOCOM) را تولید می‌کند. عملیات‌های ویژه از شاخه‌های ارتش است که وظیفه‌اش مقابله با تروریسم، مقابله با شورش و نیز شناسایی ویژه است. شاخۀ عملیات‌های ویژۀ ارتش، دسترسی به لوکیت ایکس را خریده است تا در عملیات‌های نیروهای ویژه در خارج از کشور یاری‌رسانش باشد. جریان دیگرِ فروش این داده‌ها از طریق شرکتی با نام ایکس-مود است که اطلاعات لوکیشن را مستقیماً از نرم‌افزارهای تلفن همراه به دست آورده و سپس آن داده‌ها را به پیمانکاران و به‌واسطۀ آن‌ها به ارتش آمریکا می‌فروشد.

این خبر بر ابهامِ صنعت داده‌های موقعیت مکانی مهر تایید می‌زند. علاوه بر این، این حقیقت آشکارتر می‌شود که ارتش ایالات متحده که پیش از این به‌خاطر استفاده از داده‌های لوکیشن دیگران با قصدِ حملات پهبادی بدنام شده بود، دسترسی به داده‌های حساس را می‌خرد. بسیاری از کاربران اپلیکیشن‌هایی که در این زنجیرۀ تامین داده وجود دارند، مسلمان هستند که وقتی این نکته جالب می‌شود که بدانیم ایالات متحده چندین دهه است در حال جنگ با گروه های اسلامی خاورمیانه است و صدها هزار شهروند را نیز طی عملیات‌های نظامی‌اش در پاکستان و افغانستان و عراق کشته است. مادربورد از هیچ‌کدام از عملیات‌های خاصی که در آن ارتش ایالات متحده از این نوع داده‌های موقعیت مکانی بر پایۀ اپلیکیشن‌ها استفاده کرده است، اطلاعات ندارد.

یکی از اپلیکیشن‌هایی که داده‌ها را به ایکس-مود می‌فرستد اپلیکیشن مازلِم پِرو (Muslim Pro) است که به کاربر مسلمان، زمان اذان و جهت قبله را متناسب با موقعیت مکانیِ آن لحظۀ کاربر یادآوری می‌کند. طبق اطلاعات گوگل پلی استور، این اپلیکیشن بیش از ۵۰میلیون بار برای اندروید و طبق اطلاعات سایت مازلم پرو جمعاً بیش از ۹۸میلیون بار برای همۀ باقی پلتفرم‌ها از جمله iOS دانلود شده است.

سایت مازلم پرو نوشته است: «معروف‌ترین اپلیکیشن مسلمانان!» به‌علاوه، این اپلیکیشن متن و صوت تلاوت قرآن را نیز در خود دارد. یکی دیگر از اپلیکیشن‌هایی که داده‌هایش را برای ایکس-مود فرستاده بود، مازلم مینگِل (Muslim Mingle) است، اپلیکیشن همسریابی مسلمانان که بیش از صدهزار بار دانلود شده است.

برخی توسعه‌دهندگان اپلیکیشن‌ها که مادربورد با آن‌ها صحبت کرد، اطلاع نداشتند که در نهایت داده‌های لوکیشن کاربرانشان به دست چه کسانی می‌رسد و حتی اگر کاربری بخش سیاست‌های حفظ حریم خصوصی (privacy policy) را در این اپلیکیشن‌ها بررسی کند، شاید در نهایت متوجه نشود که چگونه بسیاری از صنایع، شرکت‌ها یا سازمان‌های دولتیِ مختلف، برخی از حساس‌ترین اطلاعات آن‌ها را می‌خرند. خریداری چنین اطلاعاتی توسط مجریان قانون ایالات متحده سوالاتی را به وجود آورده است دربارۀ مسئولانی که با پول، راهِ رسیدن به اطلاعات موقعیت مکانی‌ای را برای خود هموار می‌کنند که احتمالاً در حالت عادی برای دسترسی به چنین داده‌هایی باید حکم قانونی بگیرند. با وجود این، قراردادِ USSOCOM و گزارش‌های افزون بر آن، اولین مدارکی است که نشان می‌دهد خرید داده‌های موقعیت مکانی برای ایالات متحده از مجریان قانون فراتر رفته و به سازمان‌های نظامی رسیده است.

طبق  مدارکی که مادربورد فاش کرده است، USSOCOM دسترسی به لوکِیت ایکس، محصولی متعلق به شرکتی به نام بابِل استریت و مرتبط با داده‌های لوکیشن، را خریده است. یکی از کارمندان سابقِ بابل استریت برای مادربورد توضیح داد که چگونه کاربرانِ این محصول می‌توانند روی نقشه شکلی بکشند، همۀ دستگاه‌هایی که در آن لوکیشن هستند و بابل استریت روی آن‌ها داده‌هایی دارد را ببینند و سپس تاریخچۀ یک دستگاه خاص را بررسی کنند تا ببینند قبلاً در چه مکان‌هایی بوده است.

داده‌های خودِ لوکیت ایکس ناشناس‌اند اما این منبع آگاه گفت که «ما می‌توانیم هویت یک فرد را کاملاً مشخص کنیم.» این کارمند سابق اضافه کرد که کارمندان بابل استریت «با این اطلاعات بازی می‌کنند، صادقانه بگویم».

طبق اسناد عمومی، USSOCOM در ماه آوریل «مجوزهای رسمیِ نرم‌افزاری اضافه» را برای دسترسی به لوکیت ایکس و دیگر محصولی که بر تحلیل متن متمرکز است و بابِل ایکس نام دارد، خریده است. این اسناد نشان می‌دهد که مجموعه ای از مجوزهای اضافه حدود ۹۰هزارو۶۰۰ دلار هزینه دارد.

در بیانیه‌ای، تیم هاکینز، فرماندۀ نیروی دریایی و سخنگوی فرماندهی عملیات‌های ویژه، خریدِ لوکیت ایکس را تایید و اضافه کرد: «دسترسی ما به این نرم‌افزار برای کمک به مقتضیاتِ ماموریت نیروهای عملیات‌های ویژه در خارج از مرزهاست. ما سختگیرانه از فرآیندها و سیاست‌های مقررشده برای حفظ حریم شخصی، آزادی‌های مدنی، حقوق پیش‌بینی‌شده در قانون اساسی و حقوق قانونیِ شهروندان آمریکایی پیروی می‌کنیم.»

یکی از اسناد آنلاینِ بابِل استریت می‌گوید که «طبق مشخصات فنی داده‌های لوکیت ایکس، در استفادۀ خریدار از داده‌های لوکیت ایکس محدودیتی برای تعداد جست‌وجوها وجود ندارد». این سند می‌گوید داده‌های لوکیشن شاید همیشه دقیق نباشد.

چند درخواست به بابل استریت و مازلم پرو ارسال شد تا نظرشان را بگویند اما پاسخی ندادند.

در ماه مارس، پروتکل که رسانۀ خبری حوزۀ فناوری است برای اولین بار گزارش داد که سازمان‌های مجری قانون ایالات متحده همچون ادارۀ گمرک و حفاظت مرزی (CBP) و اِعمال مهاجرت و گمرک (ICE) در حال استفاده از لوکیت ایکس بودند. بعداً مادربورد مدرکی درون‌سازمانی از سرویس مخفی آمریکا به دست آورد که استفادۀ این سازمان از این فناوری را تایید می‌کرد. برخی از سازمان‌های دولتی از جمله ادارۀ گمرک و حفاظت مرزی (CBP) و سازمان خدمات درآمد داخلی (IRS)، هم دسترسی به داده‌های موقعیت مکانی را از فروشندۀ دیگری به نام وِنتِل (Venntel) خریده‌اند.

مارک تالمن، استادیار گروه مدیریت شرایط اضطراری و امنیت میهن در آکادمیِ دریانوردیِ ماساچوست در ایمیلی به مادربورد گفت: «به نظر من، در عمل حتمی است که خارجی‌ها تلاش کنند تا روی منابع مشابهی از پلتفرم خصوصیِ داده‌های کاربران فشار بیاورند (و تقریباً مطمئناً در حال بهره‌برداریِ فعالانه از این منابع هستند). فکر می‌کنم ساده‌لوحانه باشد که برعکسِ این فکر کنیم.»

 

زنجیرۀ تامین

برخی شرکت‌ها داده‌های لوکیشن را از طریق داده‌های بیداِستریم به دست می‌آورند. وقتی تبلیغ‌کنندگان هزینه‌های مربوط را می‌پردازند تا تبلیغ آن‌ها هم‌زمان با گشت‌وگذارِ کاربر در اینترنت بر اساس معیارهایی همچون تطبیق لوکیشن کاربر با لوکیشن مدنظر تبلیغ، نمایش داده شود، اطلاعاتی از کاربران گردآوری می‌شود که به آن داده‌های بیداستریم (bidstream) می‌گویند. علاوه بر این، شرکت‌ها اغلب داده‌ها را از کیت‌های توسعۀ نرم‌افزار (SDK) به دست می‌آورند.

شرکت داده‌های لوکیشن ایکس-مود که با بابل استریت فرق دارد، توسعه‌دهندگان اپلیکیشن را ترغیب می‌کند که کیت‌های توسعۀ نرم‌افزار این شرکت را، در اصل با اضافه‌کردنِ چند کد، به اپلیکیشن‌هایشان متصل کنند. بعداً این کیت‌های توسعۀ نرم‌افزار، داده‌های لوکیشن کاربر را جمع‌آوری کرده و برای ایکس-مود می‌فرستند. در عوض، ایکس-مود بر اساس تعداد کاربرانِ هر اپلیکیشن، به توسعه‌دهندگان مبلغی را می‌پردازد. طبق سایت ایکس-مود، مثلاً اپلیکیشنی با ۵۰هزار کاربر فعال روزانه در ایالات متحده، برای توسعه‌دهنده‌اش ماهانه ۱۵۰۰دلار درآمد خواهد داشت.

مدیرعامل ایکس-مود، جاشوآ انتون، در مصاحبه‌ای جدید با سی‌اِن‌اِن گفت که شرکتش ماهانه ۲۵میلیون دستگاه را درون ایالات متحده ردیابی می‌کند و ردِّ ۴۰میلیون دستگاه را نیز در دیگر مناطق همچون اتحادیۀ اروپا و آمریکای لاتین و آسیا-اقیانوسیه پی می‌گیرد. ایکس-مود پیش از این به مادربورد گفته بود که کد کیت‌های توسعۀ نرم‌افزار این شرکت در حدود ۴۰۰ اپیلیکشن قرار دارد.

مادربورد با استفاده از نرم‌افزارهای تحلیل شبکه و اطلاعات گزارش ماه اکتبر کمیسیون رقابت و مصرف‌کنندگان استرالیا (Australian Competition & Consumer Commissionthe) و گزارش توسعه‌دهندگان اپلیکیشن گاردین (Guardian) که کاربران برای محافظت از داده‌های موقعیت مکانی خود نصب می‌کنند، متوجه شد که کدام اپلیکیشن‌ها این داده‌های موقعیت مکانی را برای این دلال‌ها می‌فرستادند.

این داده‌های ارسال‌شده به دلال‌های داده، اطلاعات شبکۀ وای‌فای کاربر، برچسب زمان (تاریخ و ساعت و مدت‌زمان استفادۀ کاربر) و اطلاعاتی همچون مدل گوشی کاربر را نیز شامل می‌شد.

اپلیکیشن‌های دیگری که داده‌هایشان را به ایکس-مود می‌فرستند، از این قراراند:

  1. اپلیکیشن گام‌شمار اکوپِدو (Accupedo) که طبق گوگل پلی استور بیش از ۵میلیون بار دانلود شده است؛
  2. اپلیکیشن سی‌پلاس فور کریگزلیست (CPlus for Craigslist) که با استفاده از آن، کاربران می‌توانند در کریگزلیست راحت‌تر جست‌وجو کنند و بیش از یک‌میلیون بار دانلود شده است؛
  3. اپلیکیشن پیگیری تندبادها و طوفان‌ها با نام گلوبال استورمز (Global Storms) که بیش از یک‌میلیون بار دانلود شده است؛
  4. اپلیکیشن دوست‌یابی ایران سوشال (Iran Social) و دیگر اپلیکیشن‌های مشابه آن با مخاطب هدف دیگر کشورها همچون ترکیه (با نام Turkey Social)، مصر (با نام Egypt Social)، کلمبیا (با نام Colombia Social) و…؛
  5. اپلیکیشن ضبط صفحۀ نمایش مابزاپ (Mobzapp screen recorder)؛
  6. اپلیکیشن ترازکردن با نام بابِل لِوِل (Bubble level) که بیش از ۱۰میلیون بار دانلود شده است.

مادربورد به سازندۀ ویتنامی اپلیکیشن همسریابی و دوست‌یابی مازلم مینگل (Muslim Mingle) که اپلیکیشن دیگری با هدف همسریابی  دوست‌یابی سیاه‌پوستان با نام بلک مینگل (Black people) نیز دارد، درخواست‌هایی فرستاد تا دربارۀ این فروش اطلاعات کاربران توضیح بدهد؛ اما پاسخی از آن‌ها دریافت نشد.

مادربورد پیش از این نیز نشان داده است که یکی از مشتریان ایکس-مود، شرکت جاسوسیِ خصوصی‌ای است که هدفش استفاده از داده‌های لوکیشن برای ردگیری مردم تا «در خانه‌هایشان» است. ایکس-مود این را هم نشان داده است که چگونه می‌توانیم از این داده‌ها استفاده کنیم تا ببینیم افرادی که در کانون‌های شیوع کرونا بودند، به چه مناطقی رفته‌اند و احتمالاً چه کسانی را در معرض این ویروس قرار داده‌اند.

ایکس-مود در نسخه‌ای آرشیوشده از بخش «شرکای قابل‌اعتماد» وبسایتش، شرکت سیرا نوادا کورپوریشن (Sierra Nevada Corporation) و شرکت سیستمز اَند تکنولوژی ریسرچ (Systems & Technology Research) را به‌عنوان خریدارانِ محصولاتش معرفی می‌کند. شرکت سیرا نوادا کورپوریشن هم سازندۀ هواپیماهای نظامی برای نیروی هوایی ایالات متحده است و هم پشتیبان شرکت هوافضا و صنایع دفاعیِ نورثروپ گرومن (Northrop Grumman) که تجهیزات جنگ سایبری و الکترونیک را برای ارتش آمریکا توسعه می‌دهد. شرکت سیستمز اَند تکنولوژی ریسرچ نیز طبق گفتۀ وبسایتش، همکار ارتش و نیروی دریایی و نیروی هوایی آمریکاست و در کمک به تحلیل‌گرانِ اطلاعات در این نهادها، برای آن‌ها «داده‌های تحلیل‌شده» فراهم می‌کند.

سناتور دموکرات، ران ویدن، در بیانیه‌ای به مادربورد گفت که در تماسی تلفنی با وکیل ایکس-مود، این وکیل تایید کرده است که ایکس-مود داده‌های گردآوری‌شده از تلفن‌های کاربران ایالات متحده را به‌واسطۀ پیمانکاران دفاعی به مشتریان نظامیِ ایالات متحده می‌فروشد اما این شرکت حاضر نشده از پیمانکاران واسطه یا نهادهای نظامیِ خریدار داده‌ها نامی ببرد. ایکس-مود در ایمیلی نیز به مادربورد اعلام کرد که دیگر با شرکت سیرا نوادا کورپوریشن و شرکت سیستمز اَند تکنولوژی ریسرچ همکاری ندارد، گرچه پیش از این از مشتریانشان بودند. پس از این پیگیری‌ها ایکس-مود نام چندین شرکت را از صفحۀ شرکای قابل‌اعتماد سایتش حذف کرد.

علاوه بر این، ایکس-مود در ایمیلش به مادربورد اعلام کرد که داده‌هایش را به تعداد کمی از شرکت‌های فناوری بین‌المللی می‌فروشد که شاید آن شرکت‌ها همکار ارتش باشند اما هدف اصلی از این فروش داده‌های لوکیشن، مبارزه با تروریسم و امنیت سایبری و پیش‌بینی کانون‌های آتی شیوع کروناست.

توسعه‌دهندگان بسیاری از اپلیکیشن‌های همکار با ایکس-مود، همچون اپلیکیشن‌های مابزاَپ و بابل لول و سی‌پلاس فور کریگزلیست به مادربورد گفتند که نمی‌دانستند داده‌هایشان به صنایع دفاعی و نظامی فروخته می‌شود.

اپلیکیشن قدم‌شمار اکوپِدو در ایمیلی به مادربورد گفت که دربارۀ روابطش با شرکایش به‌طور علنی صحبتی نمی‌کند و مادربورد می‌تواند دربارۀ این روابط از ایکس-مود سوال بپرسد. مدیرعامل شرکت کِلی تکنولوژی و توسعه‌دهندۀ اصلی اپلیکیشن گلوبال استورمز هم به مادربورد گفت هیچ مشکلی ندارد که ایکس-مود چه استفاده‌ای از داده‌های لوکیشن مرتبط با گلوبال استورمز می‌کند.

این در حالی است که ایکس-مود در سایت خود با افتخار می‌گوید که از کاربرانِ اپلیکیشن‌ها رضایت‌نامه و اجازۀ دسترسی به داده‌های موقعیت مکانی‌شان را گرفته است. حقیقت این است که اپلیکیشن‌های طرف قرارداد با ایکس-مود مثل بابل لول و گلوبال استورمز به کاربر می‌گویند هدفشان نشان‌دادنِ تبلیغاتِ متناسب با کاربر، تحلیل‌های بر پایۀ لوکیشن و پژوهش‌های شهری و بازاریابی و علمی است که از کاربر اپلیکیشنشان اجازۀ دسترسی به لوکیشن را می‌گیرند. لازم به ذکر است که برخی از اپلیکیشن‌ها همچون مازلم پرو، مازلم مینگل و ایران سوشال حتی چنین اطلاعاتی هم به کاربر نمی‌دهند. البته سیاست‌های حفظ حریم خصوصی برخی از اپلیکیشن‌ها و حتی خود ایکس-مود اعلام می‌کند که شاید از داده‌های موقعیت مکانی «برای پیشگیری از بیماری و پژوهش، امنیت، مبارزه با جرم و جنایت و اجرای قانون» هم استفاده کنند. مازلم پرو فقط در بخش سیاست‌های حفظ حریم خصوصی اشاره می‌کند که با شرکت‌های توتِلا (Tutela) و کوادرانت (Quadrant)، دو شرکت دیگری که داده‌های لوکیشن را جمع‌آوری می‌کنند، در همکاری است.

جالب این جاست که بعد از پیگیری‌های مادربورد، هم اپلیکیشن مازلم مینگل و هم اپلیکیشن ایران سوشال توضیح کوتاهی را به اپلیکیشانشان اضافه کردند که اعلام می‌کند این اپلیکیشن‌ها داده‌های لوکیشن را ضبط و ثبت می‌کنند.

پس از مطرح‌کردن موضوع این اپلیکیشن‌ها با کریس هافنگل، مدیر گروه مرکز قانون و تکنولوژی در دانشگاه برکلی، در ایمیلی به مادربورد گفت: «باید بپرسیم آیا مصرف‌کنندۀ معقولِ خدمات این اپلیکیشن‌ها چنین استفاده‌هایی را پیش‌بینی می‌کند و اگر صریح از اون بپرسیم، آیا با آن‌ها موافق خواهد بود. طبق این شرایط، با اطمینان می‌توان گفت که مصرف‌کننده‌ای معقول -که از اهالی فناوری نیست- استفادۀ نظامی از داده‌هایش به فکرش هم نخواهد رسید، حتی اگر این بخش‌های قوانین اپلیکیشن‌ها را هم بخواند.»

شرکت سیرا نوادا کورپوریشن پشت پردۀ گزارشی بسیار ننگ‌آور بود که با استفاده از داده‌های لوکیشن به‌دروغ ادعا کرده بود آغاز شیوع بیماری کرونا به‌خاطر انتشار ویروسی از مؤسسه ویروس‌شناسی ووهان در اکتبر سال ۲۰۱۹ بوده است.

مطالب مرتبط