У 22 арабомовних країнах, де проживає понад 450 мільйонів людей, Meta та X продовжують монополізувати комунікаційні платформи.

Ця стаття SMEX була опублікована 20 січня 2025 року. Відредагована версія перевидається на Global Voices в рамках угоди про обмін контентом.

Починаючи з 7 жовтня 2023 року, кілька соціальних мереж видалили контент, пов'язаний з Палестиною. Цей тіньовий бан, який триває до сьогодні, спричинив кілька «цифрових протестів» з вимогою створити арабський застосунок для соціальних мереж, який би дозволив вільне розповсюдження матеріалів, пов'язаних з Палестиною.

Ця вимога, хоча і є законною, закриває очі на кілька спроб країн регіону просувати «вітчизняні» соцмережі, більшість із яких були ініційовані ОАЕ та Саудівською Аравією (КСА), які, як виявилося, демонструють менш суворі стандарти щодо політики конфіденційності порівняно з твітером та метою.

SMEX проаналізував кілька застосунків, які або були запущені компаніями з країн Перської затоки, або активно просувалися місцевими медіа. Команда SMEX провела цифрову експертизу кожного з цих застосунків, щоб краще зрозуміти їхню безпеку. У межах аналізу розглядалися способи збирання, зберігання та передачі даних, а також потенційні порушення конфіденційності, пов'язані з цими практиками.

Kwai 

Kwai, застосунок, розроблений китайською компанією Kuaishou, є платформою для коротких відео, яка дозволяє користувачам ділитися відео в застосунку, конкуруючи з тіктоком. Його завантажили понад 100 мільйонів разів у Google Play Store.

Kwai просували саудівські та еміратські ЗМІ і представили його як застосунок, що «зосереджується на арабській культурі», як описав саудівський сайт Arab News. Наприкінці минулого року еміратська газета Zawaya також рекламувала цей застосунок як «перспективну арабську платформу соціальних мереж», стверджуючи, що «він відображає культурно обґрунтований арабський контент і забезпечує середовище, яке розуміє і бере до уваги арабські традиції та норми».

Joyo Technology Pte. Ltd, нинішній власник і оператор Kwai, у березні 2024 року оголосив про запуск стратегії розширення в Саудівській Аравії. Стратегія передбачає «локалізацію застосунку та його адаптацію до місцевої спільноти в Королівстві», повідомляє Riyadh Times.

Згідно з результатами цифрової експертизи, проведеної командою SMEX, проблеми конфіденційності Kwai включають обмін даними користувачів з третіми сторонами. У політиці конфіденційності зазначено: «Ми можемо використовувати ваші дані для здійснення наших прав, якщо це необхідно». Однак у ній не уточнюється процедура, обсяг використання даних чи конкретні права, які вони мають на увазі.

Хоча застосунок збирає величезну кількість даних, його політика не містить чітких вказівок щодо типу та мети збору даних, хоча відомо, що він збирає конфіденційну інформацію, таку як персональні дані та реквізити банківських рахунків для здійснення покупок у додатку. Крім того, дані не шифруються перед тим, як вони зберігаються в базі даних, що посилює побоювання щодо порушення конфіденційності. Найкращі практики конфіденційності передбачають шифрування даних «у стані спокою», щоб мінімізувати ризик потенційних витоків.

«Політика Kwai є проблематичною через обширні практики збору даних, які не мають належного обґрунтування або чіткого пояснення», — пояснює Конур Метехан Дурмаз, політичний аналітик SMEX. «Застосунок збирає широкий спектр даних, таких як стан акумулятора та інформація про Wi-Fi, не надаючи чіткого обґрунтування, навіщо ці дані потрібні і яка правова основа для їхнього збору», — додає він.

ToTok

ToTok є еміратським застосунком для обміну повідомленнями, розроблений еміратською компанією G42, яка займається дослідженнями в галузі штучного інтелекту і працює в кількох сферах, включаючи спорт, державні послуги та охорону здоров'я. Застосунок був представлений у 2019 році, але згодом виявився шпигунським інструментом, згідно з повідомленням New York Times, що призвело до видалення застосунку з Play Store та Google Store; він не був доступний в Apple Store.

Згідно з результатами цифрової експертизи SMEX, ToTok збирає дані про пристрої, які можуть бути використані для відстеження та ідентифікації окремих пристроїв. Якщо ця інформація пов'язана з обліковими записами користувачів або іншою персональною інформацією (PII), вона потенційно може бути використана для відстеження та створення профілів осіб у різних застосунках і сервісах, що може викликати занепокоєння щодо конфіденційності та стеження за користувачами.

Застосунок також запитує дозвіл «DISABLE KEYGUARD» в Android, що дозволяє тимчасово вимикати екранну блокування пристрою — механізм, який запобігає несанкціонованому доступу до пристрою.

Зміна певних системних налаштувань може мати значний вплив на функціональність, безпеку та зручність користування пристроєм. Тому доступ до системних налаштувань на пристроях Android зазвичай обмежений і суворо контролюється. Будь-яка програма, яка вимагає читання або запису системних налаштувань, швидше за все, повинна запитувати певні дозволи і дотримуватися суворих правил безпеки, щоб гарантувати збереження конфіденційності користувача і цілісності пристрою.

Коли застосунок має цей дозвіл, він може програмно вимкнути захист клавіатури, що дозволить отримати доступ до пристрою без розблокування екрану за допомогою PIN-коду, графічного ключа, пароля або біометричної автентифікації (наприклад, розблокування за відбитком пальця або обличчям).

Baaz

Baaz, створений Baz.Inc, був представлений як арабськомовна версія Clubhouse, соціального аудіозастосунку, заснованого на спільнотах з різними інтересами, де користувачі можуть приєднуватися до кімнат і спільнот та вести живі розмови. Компанія-засновник базується в Сан-Франциско, а її підрозділи розташовані в ОАЕ.

Деякі користувачі підозрювали, що Baaz є шпигунським засобом, але це твердження може бути спростоване наявністю Baaz в Play Store і App Store, де безпека додатків перевіряється перед тим, як вони стають доступними для завантаження.

Тим не менш, маючи штаб-квартиру в ОАЕ, Baaz керується федеральним законом Еміратів про захист персональних даних «PDPL», який набув чинності 2 січня 2022 року.

Однією з головних проблем PDPL ОАЕ є те, що сфера регулювання цього закону послаблює сферу його захисту. Серед цих винятків є виключення урядових даних, оскільки закон не поширюється на державні установи, які контролюють або обробляють персональні дані.

Це означає, що значна частина обробки персональних даних не підпадає під дію закону про захист персональних даних. Виключаючи суб'єктів державного сектору з-під дії положень цього закону, PDPL залишає простір для здійснення стеження.

Botim

Botim є найбільш використовуваним застосунком для інтернет-дзвінків в ОАЕ, розробленим Algento, приватною американською технологічною компанією, яка проектує, розробляє та продає мобільні продукти та послуги. Застосунок вважається дозволеною урядом альтернативою забороненим відео- та голосовим дзвінкам WhatsApp. WhatsApp наскрізь зашифрований, що унеможливлює доступ третіх осіб до даних користувачів. У Botim дані шифруються лише під час передачі через Інтернет, хоча застосунок надає користувачам можливість вимагати видалення їхніх даних.

«Уряди можуть вимагати доступу до даних користувачів або вимагати, щоб застосунки співпрацювали з органами влади під приводом національної чи громадської безпеки, — пояснює Дурмаз. «Якщо застосунок відмовляється підкорятися, він ризикує бути забороненим, що ускладнює доступ громадян до платформи та вільне користування нею».

«Уряди також можуть вимагати від платформ соціальних мереж вжити певних заходів, пов'язаних з даними або контентом користувачів. Важливо знати, що це звичайні процедури для кримінальних розслідувань, — додає він. «Однак ці урядові запити ґрунтуються на місцевому драконівському законодавстві, а коли місцеве законодавство схильне до цензури, ці запити часто переслідують ту ж саму мету».

Botim дозволяє рекламу для безкоштовних акаунтів, що піддає користувачів ризику впливу зловмисників, які можуть використовувати інфраструктуру реклами для розповсюдження шкідливих оголошень, що відомо як малвертайзинг. Клік на таке шкідливе оголошення може призвести до зараження пристрою шкідливим програмним забезпеченням, фішинг-атак або інших порушень безпеки.

Аудит, проведений за допомогою мультисканувального інструменту VirusTotal, вказує на те, що застосунок пов'язаний з джерелами, які вважаються шкідливими через список дивних посилань, що використовуються застосунком. Ці трекери часто використовуються для аналітики, реклами або маркетингових цілей, але також можуть виконувати інші функції, такі як звітність про збої чи автентифікація користувачів.

У своїй політиці застосунок зазначає, що він не несе відповідальності за збір, зберігання, вилучення та збереження будь-яких таких даних, наданих третім особам. Рекламодавці можуть відстежувати дії користувачів в Інтернеті та їхню поведінку в застосунку, щоб створювати цільові рекламні профілі. Таке відстеження може призвести до інвазивних практик профілювання і порушити конфіденційність та анонімність користувачів, як це було у випадку з мета.

Досягнення охоплення чи захист приватності: вічна дилема

Згідно з результатами судової експертизи, проведеної командою SMEX, можна оцінити рівні ризику для вищезгаданих застосунків. Результати ґрунтуються на дозволах програмного та апаратного забезпечення, заходах безпеки, контексті, функціях та зібраних даних. Результати наведені в таблиці нижче:

Хоча всі соціальні мережі та месенджери збирають дані, ці застосунки становлять значну загрозу безпеці, оскільки вони «можуть збирати більше даних, ніж необхідно, мати слабші заходи безпеки або не надавати користувачам достатньо контролю над налаштуваннями приватності», пояснює Дурмаз.

Оскільки в регіоні WANA (Західна Азія та Північна Африка) є мало месенджерів, які поважають конфіденційність користувачів, інтернет-користувачам не залишається вибору, як користуватися децентралізованими платформами соціальних мереж для захисту своїх даних, оскільки ці платформи «працюють через мережу незалежних серверів або ‘інстанцій’, кожен з яких управляється окремо», додає Дурмаз. «Це означає, що жодна компанія не контролює всі дані та взаємодії на платформі».

Цей аналіз відображає сумну реальність, що в 22 арабських країнах, де проживає понад 450 мільйонів людей, мета та X продовжують монополізувати комунікаційні платформи. Якщо щось і є, то відсутність регіональних соціальних мереж свідчить про небажання багатих арабських країн покращити місцеві регулювання конфіденційності даних і впроваджувати культуру кібербезпеки. Натомість деякі держави регіону віддали перевагу інвестиціям у шпигунське програмне забезпечення, а не в комунікації, намагаючись збирати дані замість того, щоб сприяти інноваціям. З іншого боку, користувачі змушені жертвувати конфіденційністю своїх даних заради досягнення великого охоплення на основних платформах соціальних мереж, таких як мета.