Zezwolenie na dostęp do SMS. Po co aplikacje chcą odczytywać nasze wiadomości?

Wraz z SMSAPI podejmujemy kwestie zezwoleń udzielanych aplikacjom mobilnym.

Asystent Google, WhatsApp, Facebook Messenger i kilkanaście innych aplikacji, które mamy w telefonach, zaraz po zainstalowaniu proszą o dostęp do naszych wiadomości tekstowych. Wbrew pozorom, większość z nich nie chce nikogo szpiegować, jednakże zdarzały się aplikacje, które korzystając z dostępu do danych użytkowników, sekretnie gromadziły i przesyłały informacje podejrzanym podmiotom. Dlaczego zatem aplikacje chcą odczytywać SMS-y?

Nieco ponad rok temu Google postawił ultimatum twórcom aplikacji na urządzenia z systemem Android. Jeśli ich programy prosiły o dostęp do skrzynki SMS-owej czy historii połączeń użytkowników, musieli dobrze to umotywować, inaczej tracili dostęp do sklepu Google Play. Zapowiedziano też skrupulatne kontrole. W lipcu ubiegłego roku po jednej z nich skasowano ze sklepu siedem aplikacji, które posiadając dostępu do danych użytkowników, potajemnie gromadziły je i przesyłały informacje do podejrzanych podmiotów.

Po co dziś aplikacjom dostęp do naszych SMS-ów?

Pomijając szybko malejącą grupę aplikacji szpiegujących, dziś o dostęp do SMS-ów zwykle proszą głównie programy, które same chcą je do nas wysyłać.

Wiadomość tekstowa jest bowiem coraz powszechniej wykorzystywana przez twórców oprogramowania jako sposób na weryfikację tożsamości użytkownika. Ze względów bezpieczeństwa w bankowości SMS z kilkucyfrowym kodem całkowicie wyparł tokeny i papierowe listy haseł autoryzacyjnych. Podobne zabezpieczenie jest stosowane przez programistów aplikacji mobilnych podczas zakładania przez użytkownika konta lub zmiany hasła.

Problem w tym, że przeskakiwanie pomiędzy aplikacjami i konieczność bezbłędnego przepisania otrzymanego kodu to dla niektórych niedoszłych użytkowników zbyt wysoki próg wejścia i zarazem powód do porzucenia procesu zakładania konta. Dlatego właśnie niektóre aplikacje wykonują ten krok za nich - same odczytują kod autoryzacyjny i automatycznie uzupełniają odpowiednie pole w formularzu aktywującym konto.

Jednakowy format wiadomości autoryzacyjnych

Niedawno Apple, który odpowiada za aplikacje dostępne na urządzenia mobilne z systemem iOS ogłosił, że pracuje nad ujednoliceniem standardu mechanizmu SMS OTP (One Time Password – hasło jednorazowe). Według tych planów, wiadomości autoryzacyjne wysłane przez aplikację na urządzeniach Apple mają mieć jednakowy format. Podobne kroki wobec aplikacji dla systemu Android podejmuje Google, promując standard Verified SMS. Można się domyślać że gdy standard zostanie wypracowany, zapewne w krótkim czasie obie firmy kontrolujące ponad 99 proc. rynku wymuszą na twórcach aplikacji, by sczytywały jedynie SMS-y w określonym formacie.

- Duże firmy chętnie wykorzystują SMS jako metodę komunikacji i autoryzacji. Fakt, że wiadomość dotarła na wskazany numer telefonu jest już dla nich wystarczającą gwarancją. Ręczne przepisanie kodu można więc pominąć, tym bardziej, że przeklikiwanie się pomiędzy aplikacjami i zapamiętywanie ciągu 5-6 cyfr bywa uciążliwe. Od smartfonów oczekuje się, że będą radziły sobie z zadaniami szybciej niż komputery - wyjaśnia Maja Wiśniewska z SMSAPI.

Można się zatem spodziewać, że popularność “samoczytających się” SMS-ów w aplikacjach będzie rosła, za to obawy użytkowników o czytanie ich prywatnych wiadomości powinny maleć.

Jak aplikacje nas śledziły?

Jeszcze kilka lat temu świadomość społeczeństwa w kwestii bezpieczeństwa w świecie mobilnym była dość niska. Aplikacje prosiły o szereg uprawnień, a użytkownicy przyznawali je, nie patrząc zazwyczaj, na co właściwie się zgadzają. Doprowadziło to nawet do powstania całej serii darmowych aplikacji jak latarki, kalkulatory czy proste gry, które informowały, że do poprawnego działania potrzebują dostępu do zdjęć, lokalizacji lub wiadomości tekstowych użytkowników, a ostatecznie okazywały się programami szpiegowskimi.

- Na podstawie analizy pozornie niezwiązanych ze sobą porcji danych można tworzyć profile użytkowników, które umożliwiają potem targetowanie kampanii marketingowych wg. płci, wieku, zainteresowań czy miejsca zamieszkania. To jednak działanie nie tylko na granicy prawa, co również niezgodne z dobrymi praktykami biznesowymi. Dostarczając narzędzi do SMS marketingu edukujemy swoich klientów, aby dane o osobach subskrybujących ich wiadomości zdobywali legalne. Internauci zwykle sami chętnie ujawnią swoją datę urodzenia czy adres, jeśli tylko będą wiedzieli, że w zamian nie dostaną mnóstwa reklamowego spamu. Sami przesyłamy po kilka milionów SMS-ów dziennie, jednak nie czytamy ich i w żaden sposób nie profilujemy ich odbiorców - mówi Maja Wiśniewska, PR & Content Marketing Manager w SMSAPI.

Pobierz ebook "Ebook z raportem: Jak wybrać software house dla działań marketingowych i e-commerce"