מונית של יאנגו, עמוד הפייסבוק הרישמי של יאנגו ישראל

הנה מה שלא סיפרו לכם על יאנגו, אפליקציית המוניות של יאנדקס

הקשר הרוסי וההרשאות המוגזמות: הבוקר הושקה בישראל אפליקציית המוניות יאנגו של חברת יאנדקס הרוסית, אבל רגע לפני שתתקינו אותה - כדאי שתקראו את זה

במסיבת עיתונאים, לאחר מסע פרסום מקוון נרחב, הושקה הבוקר בישראל יאנגו (Yango), אפליקציית ההיסעים של ענקית האינטרנט הרוסית יאנדקס. הכותרות מספרות על מבצעי ענק לימי ההשקה, תחרות שתועיל לשוק הישראלי, ועוד מגוון סופרלטיבים שמוכתבים על ידי מכונת יחסי הציבור של ענקית האינטרנט הרוסית. אבל למרות התמונה המושלמת שמערך יחסי הציבור של החברה היה רוצה לצייר עבורכם, מתברר שמאחורי האפליקציה התמימה לכאורה, מסתתרים כמה סימני שאלה.

לעוד כתבות שיעניינו אתכם:

הפריצה לפייסבוק: מה קרה שם, ומדוע היא חמורה יותר ממה שפורסם?

זהירות: מייל פישינג המתחזה לבזק בינלאומי הופץ בסוף השבוע

דיווח: פייסבוק השתמשה באונבו הישראלית כדי לרגל אחר משתמשים

בתחילת 2018 החלה החברה לפזול לכיוון השוק האירופי, כשלפני כחודש, הפכה פינלנד הצפונית למדינה ה-14 שהחברה החלה לפעול בה. טקטיקת החדירה לשווקים בהם פעילה החברה היא פחות או יותר זהה לזו שהחברה מפעילה בארץ: הפעלת מותג מקומי בשם "יאנגו" שמנסה להתרחק ממותג האם הרוסי יאנדקס (על כל מה שמשתמע מכך), קמפיין פרסומי אגרסיבי ברשתות החברתיות, כתבות יחצניות יזומות שפורסמו שבועות מראש במסווה של הדלפות, וכמובן תמחור אגרסיבי מאוד בעת החדירה לשוק. אלא שהטקטיקה הזו, שעבדה היטב במדינות כמו ארמניה, קזחסטן, אוזבקיסטן וקיריגיסטן - התקבלה בחשדנות רבה כשהחברה הרוסית החלה לפעול במדינות החברות בברית נאט"ו.

 יאנגו, יאנדקס

יאנגו, יאנדקס ( יח"צ)

 

עוד בתחילת 2018 התבטאו בכירים בממשלת ליטא, כנגד כניסתה של אפליקציית ההיסעים הרוסית, מחשש שזו תאסוף מידע על האזרחים במדינה. מספר ימים לתוך ההשקה במדינה פירסם משרד ההגנה המקומי הודעה חריגה ובה התבקשו התושבים שלא לעשות שימוש באפליקצייה הרוסית עד להודעה חדשה. ההתראה החריגה הזו הגיעה לאחר שראש מטה הסייבר הלאומי במדינה, פירסם התראה משלו ובה הפציר מהתושבים שלא להתקין כלל את האפליקציה עד לתום חקירה מעמיקה בנושא. החקירה הזו הגיעה לשיאה בחודש יולי האחרון, עת המשרד פירסם את ההמלצות שלו, ומהן עולה כי אפליקציית המוניות של יאנדקס עושה קצת יותר מאשר לשלוח לכם מונית עד הבית - קצת הרבה יותר.

ב-31 ביולי פרסם משרד ההגנה הליטאי בשיתוף מטה הסייבר של המדינה המלצה הכוללת קריאה גורפת לאזרחים שלא להתקין את האפליקציה של החברה עקב חשש סביר כי ההרשאות מרחיקות הלכת שזו דורשת בעת ההתקנה - ינוצלו לטובת איסוף מידע וריגול אחר אזרחי המדינה.

כחלק מהחששות הללו, אסר מטה הסייבר במדינה על עובדי ממשל לעשות שימוש באפליקציה ולהתקין אותה על מכשיריהם - זאת למרות שהשימוש באפליקציה עצמה לא נאסר במדינה. 

(למטה: אזהרה שפורסמה בעמוד הפייסבוק הרישמי של מטה הסייבר הליטאי) 

ראש הממשלה עצמו אמר כי הוא אינו רואה באפליקציה איום על ביטחון המדינה, וכי כל אדם ראשי להתקינה כראות עיניו - אך "המדינה לא ממליצה על כך". במקביל, במשרד החוץ הליטאי לקחו את העניין צעד קדימה ואף פירסמו את הסרטון הבא ברשתות החברתיות:

אז במה בעצם מדובר? ממה נובע החשש הגדול והאם הוא מוצדק? ובכן, יצאנו לבדוק את העניין בעצמנו. 

בשביל מה צריך את זה?

אז מה המצב בארץ? לצורך בדיקה של העניין בחנו את ההרשאות שמבקשות האפליקציות הכי גדולות בשוק המקומי: Gett, רקסי וגם יאנגו החדשה. יש לציין שהאפליקציה של רקסי משמשת את ציבור הנוסעים והנהגים , בניגוד לאלו של יאנגו ו-Gett העושות שימוש באפליקציות נפרדות. הבחינה עצמה נעשתה לפי הנתונים המסופקים בחנות האפליקציות של גוגל והניתנים לצפייה על ידי כל אדם. את אלו ריכזנו בטבלה מטה לנוחיותכם:

בחינה מדוקדקת של ההרשאות השונות  העלתה אצלנו חשש כי אכן, ההרשאות שמבקשת האפליקציה של יאנגו חריגות ממה שדורשות אפליקציות מוניות אחרות. הבחינה שלנו העלתה כי מבין השלושה - האפליקציה של gett היא הכי פחות פולשנית, צמודה אליה היא רקסי שבאופן מפתיע למדי דורשת הרשאות גישה נרחבות ממה שמצופה ממנה ויאנגו, המשתרכת מאחור - מצטיירת כבעייתית ביותר בתחום. 

כבר במבט ראשון נראה כי האפליקציה של יאנדקס אכן פולשנית מעט יותר מהאחרות כשהיא מבקשת גם גישה למיקרופון של המכשיר - מה שבידיים הלא נכונות עלול להפוך את הסמארטפון שלכם למכשיר ציתות לכל דבר. גם האפליקציה של רקסי מבקשת גישה זהה, אך שם זה מנומק כפונקציה המאפשרת לנהגים לתקשר זה עם זה ללא מגע ידיים. אפליקציית יאנדקס שומרת לעצמה גם גישה מלאה להודעות הטקסט של המשתמש, כמו גם את היכולת להוציא שיחות מהמכשיר - אך כל אלו מחווירים לעומת הרשאת גישה חריגה אחת - היכולת להוסיף ולהסיר חשבונות משתמש מהסמארטפון שלכם.

לעוד כתבות שיעניינו אתכם:

זו הפרשה שסייבריזן, מחברות הסייבר הגדולות בארץ, תעדיף לשכוח

איום הונאות ה-SMS: האם מישהו נרדם בשמירה עלינו?

אם זה הולך כמו פרסומת ונראה כמו פרסומת - אז מה זה, פרטנר?

לטובת מי שלא בקיא נספר כי האפשרות להקים משתמש שלא ברשותכם מעניקה למעשה גישה מלאה לסמארטפון עליו מותקנת האפליקציה - למי שבידו השליטה בה. אם כך מדוע זקוקה אפליקצית מוניות ליכולת להוסיף חשבונות משתמש לנייד שלכם? לא ברור.

כדי לאשש את החשש הזה פנינו לשלושה מומחי סייבר שונים, מהמובילים בתחומם בישראל, לבדיקה זריזה ולא מעמיקה במיוחד - רק על סמך ההרשאות שכל אפליקציה דורשת. לצורך העניין נשלחה לאלו טבלה ללא כל סימן מזהה על אילו אפליקציות מדובר, ומבלי שנאמר להם מה כל אפליקציה עושה - כשכל אפליקציה זכתה לכינוי אנונימי אחר (GETT כונתה N, יאנגו כונתה P ורקסי כונתה R). גם כאן השלושה הצביעו בנפרד על היכולת להקים חשבונות משתמש בצורה עצמאית כדבר המטריד ביותר. מומחה אחד ציין בפשטות כי למעשה אורך רשימת ההרשאות לבדו מסגיר את העובדה כי האפליקציה, ומי שמפעיל אותה, מקבלים גישה כמעט מלאה למכשיר עליו היא מותקנת.

אז מה הבעיה כאן בעצם? ובכן,  שורש ההעניין טמון בבעלי החברה: 51 אחוז מהחברה שייך לסברבנק, הבנק הגדול ביותר ברוסיה - שבאופן לא מקרי 57% ממנו נמצאים בבעלות המדינה, מה שהופך את יאנדקס לחברה שנמצאת למעשה בשליטת הקרמלין. כלומר החשש האמיתי, זה שהביעו גם בלטביה, היא כי גורמי שלטון רוסים יעשו שימשו במידע הנאסף על ידי האפליקציה ומאוחסן ברוסיה.

נשיא רוסיה ולדימיר פוטין
 

נשיא רוסיה ולדימיר פוטין. הקרמלין שולט בחברה החדשה ( חדשות עשר)

 

בפברואר השנה התמזג שירות המוניות של יאנדקס עם אובר. מצידה של אפליקציית ההיסעים החברתית האמריקאית הרי השאיפה בחיבור הזה היתה להעמיק פעילותה ברוסיה, מדינה שמקשה על פעילות שלחברות זרות בתחומה. מהצד השני - תחת החברה החדשה, יאנדקס החלה לפעול באירופה ביתר חופשיות. אחת הטענות השנויות במחלוקת כנגד החברה היו כי זו שומרת מידע על משתמשים מכל המדינות השונות בהן היא פועלת ברוסיה. כדי לענות לאתגר הזה, יאנדקס הקימה מרכז אירופאי בהולנד - וציינה תחת הצהרת הפרטיות שלה כי כל מידע שיאסף על משתמשים אירופים באפליקציית המוניות שלה יישמר במרכז האירופי של החברה, אלא שכאן אירע טוויסט מעניין.

שבוע מאוחר יותר חשף מומחה אבטחה ליטאי כי החברה מתנהגת בצורה לא ישרה, שלא לומר ערמומית - בכל הקשור לפעולותיה במדינות הבלטיות ובאירופה. האיש, ארתוראס פאלייצ'יקאס, חשף כי בניגוד להצהרותיה - החברה לא באמת שומרת את המידע על המשתמשים הבטלטים באירופה, וכי זה מועבר דרך שרתי פרוקסי היישר לרוסיה.

ומה תגובת החברה לכל העניין? ובכן התגובה הרישמית של יאנדקס העולמית,  פורסמה בסמוך למועד ההתרחשות של הארועים שתוארו בכתבה. החברה לא התייחסה לטענות לפיה היא עושה שימוש לא כראוי במידע או לכך שמידע שאמור להשמר באירופה עושה דרכו חשזרה לרוסיה וציינה כי "החברה פועלת התאם ובצמוד לחוק האירופאי וכי פרטיות המשתמשים היא נר לרגליהם. ההאשמות נגדנו הן חסרות ביסוס" כך אמר אראם סארגסיאן, מנהל האסטרטגיה הכללי של החברה. עוד הוסיף כי הפעילות של יאנדקס במדינות הבלטיות פועלת למעשה מתוך משרדי החברה בהולנד וכפופה לרגולטור המקומי כמו גם לחוקי ה-GDPR. על הטענה כי הרשאות השימוש של האפליקציה חורגות מגבולות המצופה מאפליקציה שכזו, ענו שם כי אין דבר חריג בכך גם ביחס לאפליקציות אחרות וכי וכי מידע רב יותר על משתמשים נמצא בידיהם של מפתחי אנדרואיד של גוגל וה -iOS של אפל ( טענה שדי חוזרת על עצמה בקרב חברות טכנולוגיה רוסיות שנתקלות בטענות שכאלו) . 

   

אז מה המסקנה? היכן יישמרו הנתונים שלכם, והאם ההנחה המרשימה לכשעצמה במחיר שווה את הענקת הגישה להרשאות כל כך נרחבות על המכשיר שהפך לחלק מאיתנו? עכשיו, כאשר כל הנתונים בידיכם - גם אלה שהחברה פחות מתגאה בהם - תוכלו לקבל את ההחלטה המושכלת.

לעוד כתבות של הכתב:

האקר איראני חושף: כך פועל מערך הסייבר האיראני

"אל תתערבו לנו בבחירות": מי תקף תשתיות מיחשוב ברוסיה ואיראן?

ארה"ב: "רוסיה עומדת מאחורי מתקפת הסייבר ההרסנית בהיסטוריה"

עדכון 12/11: מיאנדקס ישראל ביקשו לצרף את התגובה הבאה:

אראם סארגסיאן מנהל שווקי אירופה והמזה"ת מוסר בתגובה כי: "פרטיות המשתמשים שלנו והמידע שלהם הם בראש סדר העדיפויות שלנו. מרבית האפליקציות הקיימות בשוק היום צריכות סוג כזה או אחר של דאטה על מנת לתפקד בצורה תקינה. לכל פיצ'ר שאנו מבקשים עבורו גישה, יש חשיבות כזו או אחרת לטובת ייעול חוויית המשתמש באפליקציה. המידע היחידי שהאפליקציה לא תעבוד בלעדיו הוא מס' הטלפון. שימו לב שהאפליקציה לא מבקשת ולא שואבת מידע אישי על המשתמשים כמו תעודות זהות או שמות מלאים. כפי שצוין, כלל הפיצ'רים הנדרשים להרשאה הינם למטרת שיפור חווית המשתמש באפליקציה, לדוגמא:  גישה ל-GPS על מנת למצוא את המיקום המדויק של המשתמש בנוחות מבלי צורך להקליד כתובת ידנית. גישה למצלמה על מנת לאפשר סריקה של כרטיס האשראי. גישות כדוגמאת אלו נדרשות על ידי מרבית האפליקציות הנפוצות בשוק, אך בניגוד לאפליקציות רבות אחרות, יאנגו יכולה גם לעבוד ללא מתן הרשאות לשימוש בפיצ'רים אלו. לגבי הנקודה שהוצגה בכתבה כ"הרשאה בעייתית" בנושא הוספה או הסרה של חשבונות במכשירי אנדרואיד, הפיצ'ר הספציפי מתקשר לעובדה שאפליקציית יאנגו היא חלק מהאקוסיסטם של קבוצת יאנדקס המחזיקה מגוון רב של אפליקציות (לדוגמא, יאנדקס מיוזיק שהושקה בישראל לפני מס' חודשים ועוד מגוון אפליקציות שטרם הושקו בישראל). הגישה לחשבונות יכולה לעזור כאשר משתמשים ביותר מאפליקציה אחת מקבוצת יאנדקס, כך למשל אין צורך להירשם לאפליקציות נוספות ברגע שמחוברים לאחת מהן. חשוב לנו להדגיש שכאשר נעשה שימוש בפיצ'ר זה, הוא שקוף לחלוטין אל מול המשתמשים ולכן גם השתמשנו בכלים ומערכות אנדרואיד סטנדרטיים ליצירת החשבונות. זה אומר שכל משתמש יכול להחליט בעצמו מה לעשות עם החשבון לאחר מכן. לצורך השוואה, מרבית האפליקציות האחרות מאכסנות את הפרטים הללו כמו גם החשבונות בשרתים שלהם במקום, כך שבמקרה הזה אנחנו שקופים הרבה יותר."