เมื่อวานเห็นคนแชร์กระทู้ Pantip มาเรื่อง "เตือน! ผู้ใช้บริการ Facebook Messenger App มันน่ากลัวมากๆ" เลยเอามาเขียนเป็นข้อมูลให้จ้า
เล่าตั้งแต่ต้นเลยละกันเนอะ
เมื่อสิบปีที่แล้ว เด็กหนุ่มคนหนึ่งนามว่ามาร์ค ซักเกอร์เบอร์ค ...
ย้อนนานเกินไป เอาใกล้กว่านั้นหน่อยละกันเนอะ
การบังคับให้คนลง Facebook Messenger จุดกำเนิดดราม่า
พูดให้สั้นๆก่อนว่า
สิ่งที่เจ้าของกระทู้พูดอ้างอิงเรื่องมีกระแสจากเมืองนอกมานั้นเป็นเรื่องจริง
เมื่อสักสองเดือนที่แล้ว Facebook อยู่ดีๆก็ปิดฟังก์ชั่น Facebook Messenger ทิ้งออกไปจากโปรแกรม Facebook ตัวหลัก และถ้าใครยังอยากแชทอยู่ ให้โหลดแอพฯ Facebook Messenger มาลงต่างหาก
สาเหตุก็พอเดาออก การที่ Facebook Messenger ฝังอยู่ในแอพฯ Facebook นั้น จะส่งผลให้มีข้อจำกัดด้านฟังก์ชั่น อีกทั้งเวลาจะพัฒนาฟีเจอร์อะไรเพิ่ม ก็ต้องแก้ไขแอพฯสองตัว มันช่างไม่สะดวกเอาซะเลย (นักพัฒนาดูเอาไว้ เราไม่ควรทำแอพฯให้มีฟีเจอร์ซ้ำซ้อน จะลำบากในระยะยาว)
Facebook จึงอยากจะแยกระบบ Chat ออกมาเพื่อเพิ่มฟังก์ชั่นต่างๆและทำให้ทุกอย่างเป็นไปอย่างคล่องตัว
ดราม่าจึงบังเกิดเพราะเรื่องพวกนี้รู้กันเฉพาะโปรแกรมเมอร์เท่านั้น ในขณะเดียวกัน มุมมอง User มันถือเป็นเรื่องใหญ่ มันเป็นการปรับเปลี่ยนพฤติกรรม ฝืนความรู้สึกของผู้ใช้อย่างรุนแรง คำแรกที่แว้บขึ้นมาในหัวของผู้คนคือ "อะไรของเมิงฟระ" แล้วก็เริ่มมองโลกในแง่ร้ายมากขึ้นเรื่อยๆ ตามมาด้วยข้อสงสัยต่างๆนานาจนเกิดเป็น Panic ว่า "Facebook มันต้องกำลังจะทำอะไรไม่ดีกับเราสักอย่างแน่ๆ"
เรื่องพวกนี้ยิ่งคิดยิ่งสงสัยยิ่งกังขายิ่งแย่ลง คราวนี้ก็เกิดเป็นพฤติกรรมหมู่เลย "Facebook Messenger เป็นโจรแน่นอน !!"
(รูปจาก TheAtlantic)
ทางฟาก iOS ไม่รู้จะสงสัยยังไง ดูอะไรไม่ได้ ก็เลยดราม่ากันใน App Store ประเด็นเดียว "ทำไมต้องให้โหลดแอพฯเพิ่ม?" แล้วก็ให้ 1 ดาวกันรัวๆ ล่าสุด Rating อยู่ที่ 1.5 ดาวถ้วน ...
ส่วนฟาก Android สิ่งที่ง่ายที่สุดที่ผู้ใช้จะดูได้คือ Permission (ก็มันทำมาเพื่อผู้ใช้หนิ)
พอไปเปิด Permission ของ Facebook Messenger ดู ถึงกับเป็นลม ! ทำไมขอเยอะขนาดนี้ !! (สังเกตดูจาก Scroll Bar)
ซึ่ง Permission ที่อ่านรู้เรื่อง เนื้อหามันก็ชวนคิดมากจริงๆ เพราะพออ่านแล้วมันคิดได้อย่างเดียวคือ "เรามอบสิทธิ์ทุกอย่างให้กับแอพฯเลย"
คราวนี้ก็เลยเกิดเป็นกระแสพัดกระพือไปเป็นวงกว้างว่า Facebook ตั้งใจขโมยข้อมูลส่วนตัวเราแน่ๆ เริ่มเข้าสู่สื่อ ช่องโน้นช่องนี้เริ่มเอามาออกว่าเกิดกระแสต่อต้านแอพฯ Facebook Messenger ขึ้นเพราะคนกังวลว่าจะเป็นการขโมยข้อมูลส่วนตัวไป สุดท้ายก็กลายเป็นเรื่องใหญ่
จนสุดท้าย Facebook ก็ออกมาชี้แจงยืนยันความโปร่งใสว่า Permission แต่ละอย่างเอาไปทำอะไร
ระบบ Permission ของ Android กว้างเกินไป จะทำอย่างเดียวแต่ต้องขออนุญาตหมด และต้องให้สิทธิ์แต่แรก
แต่ก่อนจะไปถึงคำชี้แจง อยากจะอธิบายระบบ Permission ของ Android สักเล็กน้อย
Permission ของ Android มีไว้ระบุว่าแอพฯตัวนี้ๆจะมีการเข้าถึงส่วนไหนของแอนดรอยด์บ้าง มีการใช้อะไรของระบบบ้าง เพื่อให้ผู้ใช้รู้ว่าแอพฯเข้าถึงส่วนไหนได้บ้าง เป็นการป้องกันตัวเองจากแอพฯที่ไม่พึงประสงค์ (แต่สุดท้ายก็ไม่อ่านกัน) หากแอพฯไม่ระบุ Permission ดังกล่าว แอนดรอยด์จะไม่ให้สิทธิ์ในการเข้าถึง เมื่อฝืนเรียกใช้คำสั่ง แอพฯจะ Crash ทันที
ยกตัวอย่างเช่น ขอ Permission INTERNET เพื่อระบุว่าแอพฯตัวนี้จะเข้าถึงอินเทอร์เนตนะ ขอ Permission READ_CONTACTS เพื่อเข้าถึง Contact List เวลาเราลงแอพฯมันก็จะขึ้นมาให้เราเห็นชัดเจนว่าแอพฯขออะไรบ้าง
ปรากฎว่ามีหลายๆ Permission ที่กว้างมาก เช่น เราจะขอ Permission ลบ (Delete) SMS มันก็ขึ้นมาว่าเขียน (Write) ได้ด้วย ทั้งๆที่เราอาจจะแค่ลบ
ส่งผลให้เอาจริงๆมนุษย์ก็อ่านได้ไม่เคลียร์ขนาดนั้นหรอก แม้แต่นักพัฒนาเอง บางทีก็ยังงงและมานั่งระลึกว่าแอพฯมันใช้สิทธิ์นี้ๆในส่วนไหนของแอพฯ
สุดท้าย Permission ดังกล่าวจึงสร้างจินตนาการได้ไม่หยุดยั้งถึงความกลัวในการถูกขโมยข้อมูล ทั้งๆที่ผู้พัฒนาอาจจะไม่ได้ตั้งใจขโมยอะไรเลยก็ได้ แต่ถ้าไม่มี Permission เหล่านั้น แอพฯมันทำไม่ได้จริงๆ
อีกทั้ง Nature ของ Permission บนแอนดรอยด์มีจุดอ่อนอย่างนึงคือเราต้องให้อนุญาตตั้งแต่ลงแอพฯ หลังจากนั้นพอแอพฯติดตั้งเสร็จ มันจะทำอะไรก็ได้แล้ว เราไม่มีทางรู้ ในขณะที่ iOS มันจะเป็นการให้อนุญาตเป็นส่วนๆ พอจะเข้าถึงอะไรเช่น Gallery มันก็จะเด้งถามทีนึง พอจะรับ Push Notification มันก็จะเด้งถามอีกทีนึง คราวนี้ผู้ใช้ก็จะรู้แบบผู้ใช้จริงๆว่าแอพฯเข้าถึงจากส่วนไหน (แต่ก็ขอแค่ครั้งแรกครั้งเดียวอ่านะ) เป็นการออกแบบทาง System Architecture เราทำอะไรมันไม่ได้ ต้องพยายามเข้าใจมันอย่างเดียว
คำชี้แจงจาก Facebook
อย่างที่บอก Permission มันก็จำเป็นต้องใช้ในแอพฯจริงๆ โดยเฉพาะอย่างยิ่งถ้าแอพฯมีความซับซ้อนอย่าง Facebook Messenger จึงไม่ต้องแปลกใจว่า Permission ที่ขอจะยาวเป็นหางว่าว
หลังจากเกิดเหตุสงสัยขึ้นจนเป็นเรื่องเป็นราว Facebook ก็ชี้แจงไว้เป็นหน้านึงในเว็บเลย "Why is the Messenger app requesting permission to access features on my Android phone or tablet?"
เนื้อหาในนั้นไม่ได้ชี้แจงทุก Permission (ก็ถูกแล้วหละ ใครจะไปเข้าใจ) แต่อธิบายเป็นงานๆไป เข้าใจง่ายดี
ถ่ายรูปและวีดีโอ - เพราะแอพฯมีการถ่ายรูปและวีดีโอเพื่อส่งให้เพื่อน
อัดเสียง - แอพฯสามารถอัดเสียงส่งให้เพื่อนได้
อ่าน Contact List - เพราะแอพฯสามารถ Sync Contact ใน Messenger กับ Contact List ในมือถือได้ ตรงนี้ปิดได้
โทรออก - ก็แอพฯมันโทรออกได้ ...
รับ SMS - เอาไว้ยืนยันเบอร์โทรตอนกรอกเบอร์โทรผูกไปกับ Account โปรแกรมจะตรวจสอบ SMS และ Confirm ให้โดยอัตโนมัติ ไม่ต้องมากรอกรหัส
บนเว็บเขียนไว้แค่นี้ จริงๆมีอย่างอื่นอีก เช่น
ขอตำแหน่ง GPS - เพราะเวลาแชทเราสามารถส่งตำแหน่งที่เราอยู่ไปได้
และหลังจากที่เราดู Permission อื่นๆแล้ว ทุกอันก็ใช้งานอย่างเป็นรูปธรรมหมดนะ
พอชี้แจงไป ... คนก็ไม่อ่านกันจ้าาา เพราะเรื่องลบมันกระจายเร็วกว่าเรื่องบวก เป็นเรื่องปกติ
แต่ต้องบอกว่าสถานการณ์ตอนนี้คลี่คลายละ ไม่มีใครเคลือบแคลงสงสัยเท่าไหร่ สื่อก็ไม่เล่นเรื่องนี้แล้ว
ส่วนที่เจ้าของกระทู้ใน Pantip เอามาโพสต์ นั่นเป็นข่าวเก่าครับ
ผู้พัฒนาคือใคร สำคัญกว่า Permission มีอะไรบ้าง
ในขณะเดียวกัน เรามองโลกในแง่ดีไปแล้ว หากมองโลกในแง่ร้าย เอาจริงๆ Facebook Messenger มันเข้าถึงข้อมูลส่วนตัวเราได้เกือบทุกอย่างจริงๆ ถ้าจะขโมยก็ขโมยได้
คำถามก็มีอยู่แค่ว่า จะขโมยรึเปล่า?
แล้วเราจะรู้ได้ไงว่าเค้าจะขโมยมั้ย? คำตอบก็คงเป็นว่า "เราไว้ใจนักพัฒนาคนนั้นๆแค่ไหน" แหละนะ
แอพฯที่จะขโมยข้อมูล ไม่จำเป็นต้องขอ Permission เยอะแยะมากมาย ขอแค่ 2-3 อัน ก็ขโมยข้อมูลสำคัญคุณไปได้แล้ว อย่างที่เดโมให้ดูในวีดีโอตัวก่อน
ถ้าเป็นอาฉีตี๋เล็กจากไหนพัฒนาแอพฯก็ไม่รู้ เราเจอ Permission แบบนี้ เราก็คงหงายเก๋งไป จะลงไปทำไม โดนแน่ๆ ... แต่นี่ Facebook มี Business Model ชัดเจนว่าเค้าขายโฆษณา เค้าไม่ได้เอาเงินจากการขายข้อมูลส่วนตัวเรา
แต่อย่างไรก็ตาม ... เค้าก็เอาข้อมูลส่วนตัวเราไปใช้ประโยชน์อยู่ดี ...
อีกหนึ่งความจริงที่ไม่มีใครเคยบอกคุณ Google, Facebook แอบเก็บข้อมูลคุณไปตลอดเวลาและคุณเป็นคนอนุญาตเอง
กูเกิ้ลและเฟสบุ๊คมีการเก็บข้อมูลของเราไปใช้ประโยชน์อยู่เรื่อยๆครับ และมันก็ขึ้น Dialog ขออนุญาตแล้วด้วย และเราก็ Accept มันไปเอง
บริษัทใหญ่ๆโดยเฉพาะอย่างยิ่งที่เน้น Business Model ไปในทางการโฆษณา เค้าจำเป็นต้องเก็บข้อมูลส่วนตัวของเราไปเพื่อยิงโฆษณาที่เกี่ยวข้องกับตัวเราที่สุดมาให้ เรียกว่า Target Audience ดังนั้นบริษัทพวกนี้จะขอเก็บข้อมูลอะไรบางอย่างไปเพื่อคำนวณตัวแปรเหล่านี้นี่เอง
บอกได้เลยว่าข้อมูลส่วนตัวคุณอยู่บน Server ของ Google และ Facebook เยอะมาก เพียงแต่บริษัทเหล่านี้ไม่เอาข้อมูลเหล่านั้นไปขายหรือไปเผยแพร่ แต่เก็บไว้เพื่อทำประโยชน์ในการคำนวณและให้บริการของบริษัทเท่านั้นเอง
ก็กลับเข้าอีหรอบเดิม "เราไว้ใจนักพัฒนาคนนั้นได้แค่ไหน"
ทั้งหมดคือความไว้ใจ (และกฎหมายสหรัฐฯ)
ก็เป็นข้อสรุปที่พูดบ่อยมากจนถึงมากที่สุด
เราไว้ใจนักพัฒนาคนนั้นๆได้แค่ไหน
เผอิญแอพฯทางสหรัฐฯโดยเฉพาะอย่างยิ่งบริษัทใหญ่ๆ เค้ามีกฏหมายเรื่องสิทธิส่วนบุคคลค้ำคออยู่ แล้วคนที่นั่นเอะอะก็ฟ้องเอะอะก็ฟ้อง บริษัทไม่ค่อยทำอะไรที่มันละเมิดเท่าไหร่หรอกครับ
แต่ก็คงมีบ้างที่เผลอละเมิด อย่างกรณีที่ Path ดูด Contact ทั้งหมดไป เป็นต้น
สงสัยได้ เป็นเรื่องดี
เห็นคนด่าเจ้าของกระทู้แล้วก็เศร้าใจนิดๆ อีกทั้งเห็นคนแชร์แล้วไปด่าคนเชื่อก็เศร้าใจทีเดียว ความไม่รู้แก้ได้ด้วยการให้ความรู้น้อน้อน้อน้อ
การสงสัยเรื่องนี้เป็นเรื่องดีครับ เพราะระบบ Permission ของแอนดรอยด์มันออกแบบมากำกวมจริงๆ ผู้ใช้ที่เป็นผู้ใช้จริงๆจะเข้าใจได้ยังไง พูดได้เลยว่า
เป็นหน้าที่ของนักพัฒนาที่ต้องออกมาชี้แจงว่าขอ Permission ไปทำไม
ส่วนเราก็มีหน้าที่คอยตามเช็คข้อมูลและคำชี้แจง รวมถึงคอยสอดส่องครับ
Facebook อาจจะตั้งใจขโมยจริงๆก็ได้ ...
โอเค จบแบบนี้แหละ ฮ่าาาาาาาา
ไปกินข้าวละ แว้บบบบบบบบบ