[פורסם במקור בגליון ה45 של מגזין Digital Whisper]

0. רקע

מהי עלות הפרטיות שלך? על שאלה זו רבים ניסו לענות, ועסקים אחדים עדיין מנסים לברר. נייר קצר זה יבחן את העלות של הפרטיות שלך על ידי נסיון לנתח את שוק האפליקציות הסלולריות כשוק כמעט יעיל, על ידי השוואת הרשאות שניתנות בהתקנת אפלקיציות חינמיות או בתשלום, ועל ידי בחינה האם אפליקציות חינמיות עולות יותר למשתמש או מביאות יותר הכנסות למפתח.

בהמשך, אני אתייחס לאפליקציות ופעולות ספציפיות, ואשאל האם עלות הפרטיות שלך מרשה לך להוריד אפליקציות בחינם, או אפילו להורידן בצורה פיראטית מאתרי שיתוף קבצים.

המסקנה הראשונית שלי, אם בכלל אפשר להסיק דבר, היא שאם אתה מעדיף שלא יעקבו אחרייך, או אתה מעדיף להתחמק מהאפשרות שתהיה תחת מעקב, שימוש באפליקציות בתשלום יפחית את דאגותייך, אך לא יותיר אותך חופשי מדאגות. בדרך הכלל, אפליקציות חינמיות נוטות לבקש יותר מידע על המיקום שלך והיכן אתה, ונוטות להיות יותר פולשניות. עוד ממצא הוא כי מאז 2010 ועד היום, מספר ההרשאות שהתבקשו לכל אפליקציה ככל הנראה גדל בצורה משמעותית.

1. מהי העלות של אפליקציות בחינם?

בשנים האחרונות, מחירי האפליקציות ירדו מממוצע של כ-10$ למחיר אפקטיבי של 1.5$ (לאפליקציה בתשלום), כאשר 80% מהאפליקציות הן חינמיות להורדה, בהתאם לדו"ח של גרטנר מ2013. הדו"ח מציין כי 102,000,0000,000 (מאה ושתיים מיליארד) אפליקציות יותקנו בשנת 2013, כאשר 26,683,000,000$ יושקעו ברכישתן, בין אם על ידי רכישה ובין אם על ידי רכישה בתוך האפליקציה (In App Payment) או פרסום. הדבר אומר שבפועל המחיר הממוצע לאפליקציה (בכלל, תשלום וחינם) הוא בין 0.26$ ל0.19$ (על פי המחקר של Flurry); מידע נוסף מראה שהאפליקציה הממוצעת לאנדרואיד עולה יותר מאשר אפליקציה בחנות של אפל.

ביוני 2013, Flurry, חברה שמספקת שירותי מדידה לאפליקצטיות, שחררה דו"ח שטוען כי האפליקציה הממוצעת לאנדרואיד (בתשלום וחינם) עולה 0.06$; כאשר 90% מכלל האפליקציות (אפל ואנדרואיד) ניתנות ללא תשלום; אנו יכולים להניח, עקב כך, שמודל האפליקציה ב0.99$ פשוט לא עובד.

כמו בשוק התוכנות למחשבים האישיים, השנים האחרונות הראו נדידה מאפליקציות בתשלום לאפליקציות חינמיות. לדוגמא (ונגיא לדוגמא זו מאוחר יותר), מתוך האפליקציות המכניסות ביותר בחנות האפליקציות Google Play בישראל, האפליקציה הראשונה בתשלום היא Asphalt 8, במקום 16. רוב האפליקציות הפופולריות כוללות משחקי הימורים ומזל, כמו Zynga Poker, ומשחקים אשר חינמיים למשחק אך המשתמשים צריכים לרכוש נכסים וירטואליים כדי לשחק, או כדי לקבל חיי משחק נוספים, כמו Candy Crush Saga, אשר נמצא כעת בראש הטבלה.

אם אתה מפתח תוכנה, אזי קיימים חופן של אמצעים כדי לייצר הכנסות מהאפליקציה שלך; אבל אם אתה מחשיב את ראש הטבלה של האפליקציות המכניסות ורואה שהן כולן ניתנות בחינם, אז אתה צריך לשקול מחדש את האפשרות למכור את האפלקציה שלך.

שוק האנדרואיד ייבא כמה מהמודלים המסורתיים שראינו במחשב האישי, שהיא מבוססים על תוספי דפדפן, החלפה של מנוע החיפוש ודף הבית, והצגת פרסומות קופצות והתראות שמעודדות משתמשים לרכוש מוצרים. מודלים עסקיים כאלה הם אלו שהעבירו את חברת בבילון מיצרן של תוכנות תרגום לחברה להפצת סרגלי כלים השווה מיליארדי דולרים.

מתווכי פרסומות סלולריות וחברות אחרות מציעות למפתחים דרכים לייצר הכנסות מהאפליקציות שלהם (בעגה המקצועית: מונטיזציה) על ידי התקנת תוספי פיתוח (SDK) שכוללים את קוד התוכנה שלהם. לדוגמא, החברה הישראלית StartApp מציעה למפתחים פתרון מוניטיזציה שכולל הצגת פרסומות למשתמשי הקצה על כל המסך, באנרים, מודעות ביציאה מהאפליקציה, תיבות חיפוש ועמוד שמוצג למשתמש לאחר שיחת טלפון. באיזור חודש דצמבר 2012, StartApp הציעה 0.05$ עבור כל התקנה בארצות הברית, 0.01$ עבור כל התקנה ממדינה אחרת. על אינטגרציה חלקית, שולמו כ80% מהסכומים האלו.

אולם, אפליקציות אחרות מוצאות עוד דרכים לשנות את ממשק המשתמש שלך. אפליקציות שמשתמשות במערכת של Conduit, לדוגמא, מחליפות את מסך הנעילה של הטלפון שלך בצורה כזו שמודעות שמוצגת על מסך הנעילה יוצרות הכנסה נוספת למפתח. אחרות משנות את ההעדפות הראשוניות שלך כמו ספק החיפוש שלך, דפדפן ברירת המחדש, הגדרות הDNS והעדפות דומות. שירותי מודעות אחרים פשוט ממליצים לך להתקין עוד אפלקיציות מחנויות צד שלישי (שאינן כמו Google Play עם תנאים יחסית מחמירים).

ההגדרה של תוכנה זדונית, אבל, משתנה כל יום. לכן, זה נדמה שכל יום יש דו"ח אחר על כמות התוכנות הזדוניות בחנות האפליקציות של גוגל, כאשר רובם סופרות את כמות התוכנות או מתייחסות להן בצורה ספורדית.

התעריפים שמוצעים על ידי חברות כמו StartApp הולמים באמת את ממציאה של Forbes לגבי ההכנסה הפוטנציאלית מאפליקציות בתשלום. אבל, כאשר TechCrunch הציגו את המספרים לעומק, הם מצאו שרק "20% מהאפליקציות בתשלום מורדות יותר מ100 פעמים ורק 0.2% מהאפליקציות בתשלום מורדות יותר מ10,000 פעמים. מנגד, 20% מהאפליקציות בחינם מורדות 10,000 פעמים או יותר" (על פי הדו"ח הזה).

מנגד, AppBrain, שירות המלצת אפליקציות, גובה 0.2$ עבור התקנה ממפתחים שרוצים שימליצו על האפליקציה שלהם; זה אומר שכדי שהשירות יהיה כדאי, המפתח צריך להרוויח בדרך אחרת. זה אומר שאפיקי מוניטיזציה קיימים, ומנגד, שישנם תמריצים לוותר על הפרטיות של המשתמשים.

המרווח בין 0.2$ להתקנה, לבין הממוצע של 0.26$ אומר שישנם דרכים לייצר כסף מהתקנת אפליקציות והפעלת משתמשים. חלק מהן היו פחות אתיות, כאשר נעשו בצורה פולשנית ופחות מודעת לפרטיות. אולם, לאחרונה גוגל שינתה את מדיניות המפתחים כדי להוציא מחוץ לשוק כמה פעולות שהיו לא רצויות, כגון שליחת הודעות Push פרסומיות. אולם, זה עדיין משחק של חתול ועכבר.

2. באיזה מידע בדיוק משתמשים?

וובכן, הדרך הראשונה בה הפרטיות שלך נפגעת היא על ידי הצגת פרסומות אשר מותאמות לך ספציפית או על ידי מאפיין התנהגותי כלשהוא. אפילו שירות Google AdMob לפרסום סלולרי מאפשר פרסום "מותאם אישית" (כלומר מוכן עבורך). אולם, כמה אפליקציות פשו שמות "Offer Walls" שמציקות לך להוריד אפליקציות ספציפיות, ואחרות משלבות בתוך האפליקציה שלהן אפליקציות אחרות אשר מציגות לך תוכן לא רצוי.

דוגמא מעניינת היא האתר הפופולרי Ynet, אשר שילב בתוכו את עמוד הנעילה של Conduit,  ודרש הרשאות בעייתיות ביותר. אבל זו, כמובן, לא הדוגמא היחידה.

3. שלב ראשון: האם אפליקציות בחינם דורשות יותר הרשאות?

אפליקציות מסוימות דורשות הרשאות קיצוניות לצורך הפעלתן, כמה מהן עושות זאת כדי לשלב בתוכן אפליקציות נוספות, כאשר  אחרות שעושות זאת מהוות סיכון אבטחה. בבדיקה הנוכחית שלי, אני לא יכלתי להפריד בין השתיים, אבל התייחסתי אליהן כאל קבוצות נפרדות.

הגישה הראשונה שלי, שכשלה בצורה אומללה, היתה לבדוק בצורה ידנית את ההרשאות של 30 האפליקציות המובילות בתשלום לעומת 30 האפליקציות המובילות בחינם, ולסמן הרשאות בעייתיות שהיו דרושות (כמו "בטל את נעילת המסך" או "קבל גישה למיקום"). כפי שניתן לראות מהטבלה, בממוצע גם אפליקציות בתשלום וגם אפליקציות בחינם דורשות 3 הרשאות בעייתיות בכל אפליקציה.

התוצאות האלו המשיכו להיות עקביות כאשר בחנתי את 30 האפליקציות המובילות בתחום הבידור.

כאשר בחנתי את 30 האפליקציות  המכניסות ביותר, קיבלתי ממוצע גבוה מעט יותר של 3.83.  זה אומר שאפליקציות יותר רווחיות, כאשר הן בדרך כלל בחינם, דורשות יותר הרשאות. אולם, המספרים לא מובהקים כפי שרציתי שהם יהיו.

זה אומר שהייתי צריך לחפור עמוק יותר; ההשערה הראשונה שלי היתה שלא נמצא את הבעיות באפליקציות המובילות, כיוון שהן נתונות ליותר ביקורת; לכן, הלכתי ובדקתי גרסאות יותר קשוחות, ועם הרבה יותר כח ואלימות.

4. בדיקה אמיתית: השוואה בין אפליקציות פיראטיות.

לצורך הבדיקה, הורדתי שלוש חבילות של אפליקציות פיראטיות מאתר The Pirate Bay: הראשונה היא  ערכה של 156 אפליקציות חינמיות (חינם כמו בירה, חלק מהן אמורות להיות בתשלום); השניה היא חבילה של 378 משחקים בתשלום; השלישית היא אוסף של 70 ערכות ואפליקציות בתשלום.

בנוסף, הורדתי את Top Android Games Pack מאתר Kat.Ph שמעודכן לספטמבר 2013; כאשר מתוכו, השתמשתי ב31 משחקים שלא היו בקבצי RAR (בסך הכל 1GB של משחקים מתוך 4 GB).

קחו בחשבון שערכת 378 המשחקים היא מ2010, ולכן יכולה להראות את האבולוציה של דרישת הרשאות נוספות, אבל לא יכולה לייצג אפליקציות בתשלום היום.

ההשוואה שלי, כ"קבוצת בקרה" לכאורית, היו העתקים של האפלקיצות המובילות שהורדתי מאתר APKDrawer, כיוון שלא רציתי לעקוף את מנגנון האבטחה של Google Play.

לצורך קבלת "קבוצת בקרה אולטימטיבית", השתמשתי בHumbe Bundle.

כלומר, היו לנו 6 קבוצות שונות:Top-30, Paid-70, Pirated-156, Kat.Ph-31, 2010-378 ו Humble-9. לכל אחת מהקבוצות היו מאפיינים שונים ותכונות שונות.

לאחר ההורדה, הלכתי ובדקתי את הרשאות האנדרואיד כדי לברר מי מהן בעייתיות. התשריט שכתבתי בוחן כל אחת מחבילות הAPK ומייצר פלט עבור כל אפליקציה עם מספר ההרשאות שהיא דורשת ועם מספר ההרשאות הבעייתיות. לצורך כך השתמשתי בAPK-Tool, כלי להנדסה לאחור שניתן ברשיון חופשי. באמצעות "aapt -d permissions foo.apk" אתה יכול לקבל את הפלט הרצוי לבד.

כשהסקריפט רץ, הוא מייצר קבצי טקסט, ומעבד אותן לצורך ספירת הנתונים הרלוונטים. אתם יכולים לתפוס את הנתונים והסקריפט כאן, וגם לעיין בטבלה שהוזכרה קודם כדי לקבל את הנתונים מעובדים.

לאחר מכן, השתמשתי בנתונים כדי לבדוק האם אפליקציות בתשלום דורשות הרשאות פחות בעייתיות, ולראות האם האפליקציות המובילות (קבוצת הבקרה שלנו) דורשות פחות הרשאות.

הסקריפט מיועד לבדוק את כמות ההרשאות הבעיתיות, והוא בהחלט לא אופטימאלי. זה כמו לתת לעורך דין לכתוב קוד (היי, זה בדיוק מה שזה). לפני שאתם מריצים, ודאו שאין רווחים בשמות הקבצים, ואם יש, תשתמשו בrename 'y/ /_/' *”  כדי להחליף אותם. אני גם לא אחראי לכל תוצאה מהרצת הסקריפט, לרבות אם זומבים יפלשו לבית שלכם ויאכלו את המח של בת הזוג שלכם. תעשו את זה באחריותכם בלבד.

5. ממצאים.

אם תסתכלו לאורך ציר הזמן, ולא רק חינם מול תשלום, אפליקציות בתשלום מ2010 דורשות הרבה פחות הרשאות בממוצע. מממוצע של 5.4 הרשאות בעייתיות בקבוצת הביקורת שלנו, ל0.53 מהמם (שימו לב, שאלה לא בדיוק היחסים שהייתי גריל אליהם כשהשוותי את האפליקציות קודם). קבוצת הביקורת גם קיבלה תוצאה גבוהה יותר מאשר קבוצת ה70 בתשלום (שכללה גם משחקים וגם אפליקציות), ומאשר קבוצת ה156 הפיראטית, שקיבלו 4.67 ו3.39 בהתאמה.

כאשר השוותי את הקובץ מKat.ph, שהכיל 31 משחקים בתשלום, מספר ההרשאות הבעייתיות ירד ל1.48, כמעט רבע מאשר ההרשאות הדרושות באפליקציות הפופולריות, וכשליש מהממוצע של האפליקציות הפיראטיות, וחצי מהתוצאה שהתקבלה עבור החבילה הפיראטית.

כקבוצת ביקורת עילאית, השתמשתי בHumble Bundle; זו חבילה שכוללת תשעה משחקים, מאוד פופולריים כמו Plants vs. Zombies וThe Room. החבילה עצמה נמכרת כאשר ההכנסות הולכות לצדקה. מתוך היכרות עם המטרה הטובה, המשחקים ניתנים ללא הגנות נז"ק (DRM). כפי שציפיתי, הממוצע בחבילה היה 0.88 הרשאות לאפליקציה, כאשר רוב ההרשאות (למעט אחת שדרשה לדעת מהן האפליקציות האחרות שרצות) היו הרבה פחות בעייתיות מאשר אותה  אפליקציה שניתנת בתשלום בקבוצת הביקורת.

עוד דבר מעניין, הוא שככל שהזמן עבר, רמת ההרשאות התגברה (מ2010 ועד היום).  אנו יכולים לראות שאפליקציות פופולריות דורשות יותר הרשאות בעייתיות; זה עשוי להיות עקב הכללה של יותר אפליקציות (כמו מצלמות, אפליקציות למעקב אחרי הטלפון וכדומה), ביחס למשחקים, אבל יכול להיות גם שהאפליקציות הפחות פופולריות (ובתשלום) דורשות פחות הרשאות.

דאגה משמעותית היא הגישה לנתוני מיקום.  נתוני  מיקום התבקשו  בחלק משמעותי מדי מהאפליקציות. אם נסתכל  הטבלה הבאה, נבין עד כמה:

כמו כן, בין 13% ל17% מהאפליקציות מבקשות לייצר שיחות מטעמך. האפליקציות הפופולריות גם מבקשות יותר גישה לרשימת האפליקציות הרצות ברקע (שליש, לעומת רבע או שמינית, בהתאם לקבוצה) ודורשות יותר גישה לאנשי הקשר שלך (30%, לעומת 27% או 20%, בהתאם לקבוצה).

העניין הוא שהמשחקים יכולים להיות מפותחים ללא אותן הרשאות בעייתיות. במשחק Plants vs. Zombies שהופיע בHumble Bundle, הפסיקו לעדכן את האפליקציה בגלל שינוי במשחק שכלל רכישות בתוך האפליקציה. מארגני Humble Bundle האמינו שהוא עשוי להיות לא הולם מעתה לחבילה, ולכן עצרו את חבילת העדכונים בצורה זמנית.

מספר רב של אפליקציות דורש הרשאות רק כדי לספק פרסום, וזו עשויה להיות הסיבה מדוע יותר הרשאות נדרשות באפליקציות הפופולריות. כפי שראינו, פרסום אגרסיבי דורש יותר הרשאות ודורש יותר משאבי מערכת.

אם אנחנו מסתכלים על המספרים בגדול (בניכוי חבילת 2010) אנו רואים ממוצע של 3.625 הרשאות בעייתיות לאפליקציה.

ההרשאות הבעייתיות ביותר הן: (1) כתיבה לאחסון חיצוני (75% מהאפליקציות), אשר באמת דרוש  לשמירה של ניקוד והגדרות; (2) קבלת רשימה של החשבונות על המכשיר, שעשוי היה להיות בסדר כדי לאמת את זהות רוכש האפליקציה, אבל זה גם נותן גישה לזהות חשבון הGoogle שלך למפתח האפליקציה. (27% מהאפליקציות); (3) שינוי של מאפייני המערכת. (26% מהאפליקציות). זה אומר שבעצם ה אפליקציה יכולה לשנות את עמוד הבית שלך, רקע של שולחן העבודה, מנוע החיפוש , או לשנות הגדרות אחרות כדי להציג פרסומות; (4) גישה לאנשי הקשר שלך (20% מהאפליקציות). זה אומר שחמישית מהאפליקציות רוצות גישה לאנשי הקשר שלך; זה יכול להיות כדי לשתף איתם תמונות מצחיקות, אבל גם כדי לשלוח את הפרטים שלהם לאנשים אחרים; (5) לגשת למיקום הגס שלך (18% מהאפליקציות), שזה עשוי לעזור לך בניווט, אבל גם להציג לך פרסומות מבוססות מיקום.

אם תשוו את הנתונים לאלה שהגיעו מהHumble Bundle או האפליקציות הפיראטיות מKat.ph, תראו שהגישה למיקום לא כל כך פופולרית באפליקציות בתשלום (13% בחבילה של Kat.ph ואפס בHumble Bundle). ושאף אחת מהאפליקציות האלה לא רוצה לשנות את מאפייני המערכת שלכם, ורק אחת רוצה גישה לאנשי הקשר (בהשוואה ל9 בקבוצת 30 האפליקציות הפופולריות).

בטבלה הזו אפשר לראות השוואה של קבוצת  "כל האפליקציות" מול 30 המובילות בהרשאות שנדרשות:

עוד דבר שיש לקחת בחשבון הוא שההרשאה הבעייתית הבאה אחרי גישה לנתוני מיקום היא גם גישה למיקום מקורב (18%, 53 אפליקציות); זה אומר שיש קצת חפיפה, ובטח שלא חפיפה מלאה, כך שככל הנראה הגישה למיקום שלך הוא בטח פופולרי לפחות כמו גישה לזהות החשבון. זה גם אומר שהרבה זרים מקבלים את נתוני המיקום שלך.

66. מסקנות.

המסקנה העיקרית היא שאם יש שתי חלופות,  ואחת דורשת יותר הרשאות מהשניה, אנו צריכים לשקות מחדש את המחיר של "חינם". כאשר המפתח יכול לקבל 0.26$  עבור אפליקציה בחינם, ואנחנו יכולים לקנות את הגרסא בתשלום ב1$, צריך לשאול אם לא שווה לשלם 0.74$ רק כדי לא לתת לרשת פרסום ולמפתח מידע על מי אתה, להחליף את מסך הנעילה שלך, לשלוח הודעות SMS בשמך לשירותי פרמיום, לרוקן את הסוללה שלך, או להחליף את הגדרות הגלישה באינטרנט.

אנחנו יכולים לראות שבין האפליקציות הפופולריות ביותר, והמכניסות ביותר,  יש קבוצה מובהקת של "חינם", אבל הן דורשות יותר הרשאות. ההרשאות האלו הן המחיר של "חינם".