הנה מה שלא סיפרו לכם על יאנגו, אפליקציית המוניות של יאנדקס
הקשר הרוסי וההרשאות המוגזמות: הבוקר הושקה בישראל אפליקציית המוניות יאנגו של חברת יאנדקס הרוסית, אבל רגע לפני שתתקינו אותה - כדאי שתקראו את זה
במסיבת עיתונאים, לאחר מסע פרסום מקוון נרחב, הושקה הבוקר בישראל יאנגו (Yango), אפליקציית ההיסעים של ענקית האינטרנט הרוסית יאנדקס. הכותרות מספרות על מבצעי ענק לימי ההשקה, תחרות שתועיל לשוק הישראלי, ועוד מגוון סופרלטיבים שמוכתבים על ידי מכונת יחסי הציבור של ענקית האינטרנט הרוסית. אבל למרות התמונה המושלמת שמערך יחסי הציבור של החברה היה רוצה לצייר עבורכם, מתברר שמאחורי האפליקציה התמימה לכאורה, מסתתרים כמה סימני שאלה.
בתחילת 2018 החלה החברה לפזול לכיוון השוק האירופי, כשלפני כחודש, הפכה פינלנד הצפונית למדינה ה-14 שהחברה החלה לפעול בה. טקטיקת החדירה לשוקים בהם פעילה החברה היא פחות או יותר זהה לזו שהחברה מפעילה בארץ: הפעלת מותג מקומי בשם "יאנגו" שמנסה להתרחק ממותג האם הרוסי יאנדקס (על כל מה שמשתמע מכך), קמפיין פרסומי אגרסיבי ברשתות החברתיות, כתבות יחצניות יזומות שפורסמו שבועות מראש במסווה של הדלפות, וכמובן תמחור אגרסיבי מאוד בעת החדירה לשוק. אלא שהטקטיקה הזו, שעבדה היטב במדינות כמו ארמניה, קזחסטן, אוזבקיסטן וקיריגיסטן - התקבלה בחשדנות רבה כשהחברה הרוסית החלה לפעול במדינות החברות בברית נאט"ו.
עוד בתחילת 2018 התבטאו בכירים בממשלת ליטא, כנגד כניסתה של אפליקציית ההיסעים הרוסית, מחשש שזו תאסוף מידע על האזרחים במדינה. מספר ימים לתוך ההשקה במדינה פירסם משרד ההגנה המקומי הודעה חריגה ובה התבקשו התושבים שלא לעשות שימוש באפליקצייה הרוסית עד להודעה חדשה. ההתראה החריגה הזו הגיעה לאחר שראש מטה הסייבר הלאומי במדינה, פירסם התראה משלו ובה הפציר מהתושבים שלא להתקין כלל את האפליקציה עד לתום חקירה מעמיקה בנושא. החקירה הזו הגיעה לשיאה בחודש יולי האחרון, עת המשרד פירסם את ההמלצות שלו, ומהן עולה כי אפליקציית המוניות של יאנדקס עושה קצת יותר מאשר לשלוח לכם מונית עד הבית - קצת הרבה יותר.
ב-31 ביולי פרסם משרד ההגנה הליטאי בשיתוף מטה הסייבר של המדינה המלצה הכוללת קריאה גורפת לאזרחים שלא להתקין את האפליקציה של החברה עקב חשש סביר כי ההרשאות מרחיקות הלכת שזו דורשת בעת ההתקנה ינוצלו לטובת איסוף מידע וריגול אחר אזרחי המדינה.
כחלק מהחששות הללו, אסר מטה הסייבר במדינה על עובדי ממשל לעשות שימוש באפליקציה ולהתקין אותה על מכשיריהם, זאת למרות שהשימוש באפליקציה עצמה לא נאסר במדינה. ראש הממשלה עצמו אמר כי הוא אינו רואה באפליקציה איום על ביטחון המדינה, וכי כל אדם ראשי להתקינה כראות עיניו - אך "המדינה לא ממליצה על כך".
במשרד החוץ הליטאי לקחו את העניין צעד קדימה ואף פירסמו את הסרטון הבא ברשתות החברתיות:
אז במה בעצם מדובר? ממה נובע החשש הגדול והאם הוא מוצדק? ובכן, יצאנו לבדוק את העניין בעצמנו. במבט ראשון נראה כי האפליקציה של יאנדקס אכן פולשנית מעט יותר מהאחרות כשהיא מבקשת גם גישה למיקרופון של המכשיר - מה שבידיים הלא נכונות עלול להפוך את הסמארטפון שלכם למכשיר ציתות לכל דבר.
בשביל מה צריך את זה?
אפליקציית החברה שומרת לעצמה גם גישה מלאה להודעות הטקסט של המשתמש, כמו גם את היכולת להוציא שיחות מהמכשיר - אך כל אלו מחווירים לעומת הרשאת גישה חריגה אחת - היכולת להוסיף ולהסיר חשבונות משתמש מהסמארטפון שלכם.
מדוע זקוקה אפליקצית מוניות ליכולת להוסיף חשבונות משתמש לנייד שלכם? לא ברור. לטובת מי שלא בקיא נספר כי האפשרות להקים משתמש שלא ברשותכם מעניקה למעשה גישה מלאה לסמארטפון עליו מותקנת האפליקציה - למי שבידו השליטה בה.
אז מה המצב בארץ? בחנו את ההרשאות שמבקשות האפליקציות הכי גדולות בשוק: Gett, רקסי וגם יאנגו החדשה. הבחינה עצמה נעשתה לפי הנתונים המסופקים בחנות האפליקציות של גוגל והניתנים לצפייה על ידי כל אדם. את אלו ריכזנו בטבלה מטה לנוחיותכם:
השוואת הרשאות גישה באפליקצי... by on Scribd
בחינה מדוקדקת של ההרשאות השונות העלתה אצלנו חשש כי אכן, ההרשאות שמבקשת האפליקציה של יאנגו חריגות ממה שדורשות אפליקציות מוניות אחרות. הבחינה שלנו העלתה כי מבין השלושה - האפליקציה של gett היא הכי פחות פולשנית, צמודה אליה היא רקסי שבאופן מפתיע למדי דורשת הרשאות גישה נרחבות ממה שמצופה ממנה ויאנגו, המשתרכת מאחור, מצטיירת כבעייתית ביותר בתחום.
כדי לאשש את החשש הזה פנינו לשלושה מומחי סייבר שונים, מהמובילים בתחומם בישראל, לבדיקה זריזה ולא מעמיקה במיוחד - רק על סמך ההרשאות שכל אפליקציה דורשת. לצורך העניין נשלחה לאלו טבלה ללא כל סימן מזהה על אילו אפליקציות מדובר, ומבלי שנאמר להם מה כל אפליקציה עושה - כשכל אפליקציה זכתה לכינוי אנונימי אחר (GETT כונתה N, יאנגו כונתה P ורקסי כונתה R). גם כאן השלושה הצביעו בנפרד על היכולת להקים חשבונות משתמש בצורה עצמאית כדבר המטריד ביותר. מומחה אחד ציין בפשטות כי למעשה אורך רשימת ההרשאות לבדו מסגיר את העובדה כי האפליקציה, ומי שמפעיל אותה, מקבלים גישה כמעט מלאה למכשיר עליו היא מותקנת.
אז מה הבעיה כאן בעצם? ובכן, שורש ההעניין טמון בבעלי החברה: 51 אחוז מהחברה שייך לסברבנק, הבנק הגדול ביותר ברוסיה - שבאופן לא מקרי 57% ממנו נמצאים בבעלות המדינה, מה שהופך את יאנדקס לחברה שנמצאת למעשה בשליטת הקרמלין. כלומר החשש האמיתי, זה שהביעו גם בלטביה, היא כי גורמי שלטון רוסים יעשו שימשו במידע הנאסף על ידי האפליקציה ומאוחסן ברוסיה.
בפברואר השנה התמזג שירות המוניות של יאנדקס עם אובר, כשמצידה של אובר השאיפה היא להעמיק פעילותה ברוסיה ומהצד השני - תחת החברה החדשה, יאנדקס החלה לפעול באירופה ביתר חופשיות. אחת הטענות החמורות כנגד החברה היו כי זו שומרת מידע על משתמשים מכל המדינות השונות בהן היא פועלת ברוסיה. כדי לענות לאתגר הזה, יאנדקס הקימה מרכז אירופי בהולנד - וציינה תחת הצהרת הפרטיות שלה כי כל מידע שיאסף על משתמשים אירופים באפליקציית המוניות שלה יישמר במרכז האירופי של החברה, אלא שכאן אירע טוויסט מעניין.
שבוע מאוחר יותר חשף מומחה אבטחה לטבי מקומי כי החברה מתנהגת בצורה לא ישרה, שלא לומר ערמומית - בכל הקשור לפעולותיה במדינות הבלטיות ובאירופה. האיש, ארתוראס פאלייצ'יקאס, חשף כי בניגוד להצהרותיה - החברה לא באמת שומרת את המידע על המשתמשים הבטלטים באירופה, וכי זה מועבר דרך שרתי פרוקסי היישר לרוסיה.
בפברואר השנה התמזג שירות המוניות של יאנדקס עם אובר, כשמצידה של אובר השאיפה היא להעמיק פעילותה ברוסיה ומהצד השני - תחת החברה החדשה, יאנדקס החלה לפעול באירופה ביתר חופשיות. אחת הטענות החמורות כנגד החברה היו כי זו שומרת מידע על משתמשים מכל המדינות השונות בהן היא פועלת ברוסיה. כדי לענות לאתגר הזה, יאנדקס הקימה מרכז אירופי בהולנד - וציינה תחת הצהרת הפרטיות שלה כי כל מידע שיאסף על משתמשים אירופים באפליקציית המוניות שלה יישמר במרכז האירופי של החברה, אלא שכאן אירע טוויסט מעניין.
שבוע מאוחר יותר חשף מומחה אבטחה לטבי מקומי כי החברה מתנהגת בצורה לא ישרה, שלא לומר ערמומית - בכל הקשור לפעולותיה במדינות הבלטיות ובאירופה. האיש, ארתוראס פאלייצ'יקאס, חשף כי בניגוד להצהרותיה - החברה לא באמת שומרת את המידע על המשתמשים הבטלטים באירופה, וכי זה מועבר דרך שרתי פרוקסי היישר לרוסיה.
ומה תגובת החברה לכל העניין? ובכן התגובה הרישמית של יאנדקס העולמית, פורסמה בסמוך למועד ההתרחשות של הארועים שתוארו בכתבה. החברה לא התייחסה לטענות לפיה היא עושה שימוש לא כראוי במידע או לכך שמידע שאמור להשמר באירופה עושה דרכו חשזרה לרוסיה וציינה כי "החברה פועלת התאם ובצמוד לחוק האירופאי וכי פרטיות המתשמשים היא נר לרגליהם. ההאשמות נגדנו הן חסרות ביסוס" כך אמר אראם סרגסייאן, מנהל האסטרטגיה הכללי של החברה. עוד הוסיף כי הפעילות של יאנדקס במדינות הבלטיות פועלת למעשה מתוך משרדי החברה בהולנד וכפופה לרגולטור המקומי כמו גם לחוקי ה-GDPR. על הטענה כי הרשאות השימוש של האפליקציה חורגות מגבולות המצופה מאפליקציה שכזו, ענו שם כי אין דבר חריג בכך גם ביחס לאפליקציות אחרות וכי וכי מידע רב יותר על משתמשים נמצא בידיהם של מפתחי אנדרואיד של גוגל וה -iOS של אפל ( טענה שדי חוזרת על עצמה בקרב חברות טכנולוגיה רוסיות שנתקלות בטענות שכאלו) .
אז מה המסקנה? היכן יישמרו הנתונים שלכם, והאם ההנחה המרשימה לכשעצמה במחיר שווה את הענקת הגישה להרשאות כל כך נרחבות על המכשיר שהפך לחלק מאיתנו? עכשיו, כאשר כל הנתונים בידיכם - גם אלה שהחברה פחות מתגאה בהם - תוכלו לקבל את ההחלטה המושכלת.