แอป Android ที่คุณชื่นชอบอาจซ่อนตัวตรวจจับหลายสิบรายการ

การติดตามผู้ใช้โดยแอปพลิเคชันบนระบบปฏิบัติการแอนดรอยด์เป็นเรื่องที่พบได้บ่อยและได้รับการยืนยันจากหลายแหล่งข้อมูล ทั้งจากผู้พัฒนาแอปเองและจากองค์กรอิสระที่ทำการตรวจสอบความเป็นส่วนตัวของซอฟต์แวร์บนอุปกรณ์พกพา การเก็บข้อมูลดังกล่าวอาจเกิดจากกลไกหลายรูปแบบ ไม่ว่าจะเป็นการบันทึกพฤติกรรมการคลิก การเปิดหรือปิดฟีเจอร์เฉพาะ การรับส่งข้อมูลตำแหน่งภูมิศาสตร์ หรือข้อมูลส่วนบุคคลอื่น ๆ ที่อาจนำไปใช้ในการวิเคราะห์พฤติกรรมของผู้บริโภคหรือการทำโฆษณาตามเป้าหมาย ตามรายงานของบริษัทเทคโนโลยีข้อมูลส่วนบุคคล Exodus Privacy แอปพลิเคชันที่ออกแบบมาเพื่อสแกนและรายงานตัวตรวจจับ (tracker) ที่ฝังอยู่ในแอป Android จำนวนมาก สามารถตรวจพบตัวตรวจจับหลายสิบรายการภายในแอปเดียวได้

การทำงานของตัวตรวจจับนั้นมักอาศัย SDK (Software Development Kit) หรือไลบรารีของบริษัทที่ให้บริการด้านการวิเคราะห์ข้อมูล การตลาด หรือการให้บริการคลาวด์ ซึ่งผู้พัฒนาแอปหลายรายนำมาใช้เพื่อเพิ่มฟังก์ชันการทำงานหรือเพิ่มรายได้จากโฆษณา ตัวตรวจจับเหล่านี้มักทำหน้าที่ส่งข้อมูลที่เก็บได้จากอุปกรณ์ของผู้ใช้ไปยังเซิร์ฟเวอร์ของบริษัทที่เป็นเจ้าของ SDK นั้น ๆ การส่งข้อมูลอาจเป็นแบบเรียลไทม์หรือแบบบัฟเฟอร์แล้วส่งเป็นชุดตามกำหนดเวลา โดยไม่มีการแจ้งให้ผู้ใช้ทราบโดยตรง

ในมุมมองของกฎหมายความเป็นส่วนตัวของข้อมูลส่วนบุคคล ทั้งระดับสากลและระดับประเทศ ตัวตรวจจับที่ส่งข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากผู้ใช้ถือเป็นการละเมิดหลักการพื้นฐานของกฎระเบียบ เช่น GDPR ของสหภาพยุโรป หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย การเก็บข้อมูลที่ละเอียดอ่อนเช่นตำแหน่งที่ตั้งหรือข้อมูลสุขภาพโดยไม่มีการแจ้งล่วงหน้าและขอความยินยอมอาจทำให้ผู้พัฒนาแอปต้องเผชิญกับการตรวจสอบจากหน่วยงานกำกับดูแลหรือการเรียกร้องค่าเสียหายจากผู้บริโภค

Exodus Privacy จึงได้พัฒนาแอปพลิเคชันที่ให้ผู้ใช้สามารถสแกนแอปที่ติดตั้งบนอุปกรณ์ของตนเพื่อค้นหาตัวตรวจจับที่ซ่อนอยู่ การทำงานของแอปนี้อาศัยฐานข้อมูลเปิด (open‑source) ที่รวบรวมข้อมูลเกี่ยวกับ SDK ต่าง ๆ จากหลายแหล่ง ทั้งจากรายงานของ Google Play Console, รายงานของผู้วิจัยอิสระ และข้อมูลที่ผู้ใช้รายงานด้วยตนเอง ผู้ใช้เพียงแค่เปิดแอป Exodus Privacy แล้วเลือก “สแกน” แอปที่ต้องการตรวจสอบ ระบบจะทำการดึงไฟล์ APK ของแอปนั้นออกมาวิเคราะห์โค้ดและเมตาดาต้าเพื่อค้นหาชื่อของไลบรารีที่เป็นที่รู้จักว่าเป็นตัวตรวจจับ

ผลลัพธ์ที่ได้จะแสดงเป็นรายการของ “tracker” พร้อมกับข้อมูลของผู้ให้บริการที่เกี่ยวข้อง เช่น Facebook Analytics, Google Analytics, Firebase, Adjust, AppsFlyer, Mixpanel เป็นต้น นอกจากนี้ Exodus Privacy ยังให้ข้อมูลเกี่ยวกับประเภทของข้อมูลที่แต่ละตัวตรวจจับอาจเก็บรวบรวม รวมถึงระดับความรุนแรงของการเก็บข้อมูลตามเกณฑ์ที่องค์กรกำหนด ผู้ใช้สามารถตรวจสอบว่าตัวตรวจจับใดบ้างที่ทำงานในแอปของตนและตัดสินใจว่าจะทำอย่างไรต่อไป เช่น ปิดการใช้งานสิทธิ์บางอย่างในตั้งค่า Android, ใช้แอปบล็อกการเชื่อมต่อ, หรือถอนการติดตั้งแอปที่มีตัวตรวจจับจำนวนมาก

การสำรวจโดย Exodus Privacy ที่เผยแพร่ในช่วงต้นปี 2024 พบว่าในแอปที่ได้รับความนิยมบน Google Play Store จำนวน 3,000 รายการที่สแกนแล้ว มีมากกว่า 70 % มีการฝังตัวตรวจจับอย่างน้อยหนึ่งรายการ และในหลายกรณีแอปเดียวอาจมีตัวตรวจจับหลายสิบรายการ ตัวอย่างเช่น แอปสังคมออนไลน์ที่ได้รับการดาวน์โหลดหลายสิบล้านครั้ง มีการใช้ SDK ของ Facebook, Google, Twitter, Snapchat และบริษัทโฆษณาต่าง ๆ รวมถึง SDK ที่ให้บริการวิเคราะห์พฤติกรรมการใช้งาน การเชื่อมต่อกับระบบคลาวด์ และการจัดการการแจ้งเตือนแบบพุช (push notification) การรวมหลาย SDK เข้าด้วยกันทำให้จำนวนตัวตรวจจับสะสมกันเป็นจำนวนมาก

ในแอปประเภทเกม มีการใช้ SDK ของ Google Play Services, Unity Ads, Chartboost, AppLovin, IronSource เป็นต้น ซึ่งทั้งหมดมักส่งข้อมูลเกี่ยวกับการเล่นเกม การซื้อภายในแอป (in‑app purchase) และข้อมูลอุปกรณ์ไปยังเซิร์ฟเวอร์ของบริษัทผู้ให้บริการ การส่งข้อมูลเหล่านี้อาจมีผลต่อการจัดอันดับของเกมในสโตร์หรือการปรับเปลี่ยนการแสดงโฆษณาให้ตรงกับพฤติกรรมผู้เล่น

แอปด้านการเงินหรือธนาคารส่วนใหญ่อ้างว่าได้ใช้การเข้ารหัสและมาตรฐานความปลอดภัยระดับสูงเพื่อปกป้องข้อมูลผู้ใช้ แต่การตรวจสอบของ Exodus Privacy พบว่าบางแอปอาจยังมี SDK ของบริษัทโฆษณาที่ไม่ได้รับการปิดกั้นอย่างชัดเจน แม้ว่าจะไม่ได้ส่งข้อมูลทางการเงินโดยตรง แต่การรวบรวมข้อมูลเกี่ยวกับการใช้งานอุปกรณ์และตำแหน่งที่ตั้งอาจยังคงเป็นประเด็นที่กังวลสำหรับผู้บริโภค

จากมุมมองของผู้พัฒนาแอป การใช้ SDK จากบุคคลที่สามถือเป็นวิธีที่สะดวกและรวดเร็วในการเพิ่มฟีเจอร์ต่าง ๆ เช่น การวิเคราะห์การใช้งาน การจัดการโฆษณา หรือการเชื่อมต่อกับบริการคลาวด์ การนำ SDK เข้ามาใช้จึงเป็นส่วนหนึ่งของกระบวนการพัฒนาที่หลายบริษัทยอมรับ อย่างไรก็ตาม ผู้พัฒนาต้องรับผิดชอบต่อการเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้และควรทำการตรวจสอบความปลอดภัยของ SDK ก่อนนำไปใช้ รวมถึงต้องจัดทำคำอธิบายที่ชัดเจนในนโยบายความเป็นส่วนตัว (privacy policy) เพื่อให้ผู้ใช้ทราบว่ามีการเก็บข้อมูลอะไรบ้างและโดยใคร

ในเชิงปฏิบัติ การตรวจสอบจาก Exodus Privacy ชี้ให้เห็นว่ามีช่องโหว่ด้านความโปร่งใสหลายจุด ตัวอย่างเช่น แพลตฟอร์มบางแห่งอาจไม่บังคับให้ผู้พัฒนาแจ้งรายชื่อ SDK ที่ใช้ในแอป หรืออาจไม่มีการตรวจสอบว่าข้อมูลที่ส่งออกไปนั้นเป็นข้อมูลส่วนบุคคลหรือไม่ นอกจากนี้ ระบบอัตโนมัติของ Google Play Store ยังอาจไม่สามารถตรวจจับการฝังตัวตรวจจับที่ซับซ้อนได้อย่างเต็มที่ ทำให้ผู้ใช้ต้องพึ่งพาเครื่องมือของบุคคลที่สามเพื่อรับข้อมูลที่ละเอียดกว่า

ผลกระทบต่อผู้บริโภคที่ไม่คุ้นเคยกับการตรวจสอบแอปอาจทำให้พวกเขาไม่ทราบว่าตัวตรวจจับใดบ้างที่ทำงานบนอุปกรณ์ของตน การเก็บข้อมูลโดยไม่ได้รับความยินยอมอาจส่งผลต่อความเป็นส่วนตัวในระดับต่าง ๆ เช่น การสร้างโปรไฟล์ผู้ใช้โดยอ้างอิงข้อมูลตำแหน่งที่ตั้ง การระบุตัวตนผ่านการจับคู่ข้อมูลจากหลายแหล่ง หรือการใช้ข้อมูลเพื่อทำการตลาดที่มีประสิทธิภาพสูงกว่าที่คาดคิด การแสดงโฆษณาที่เจาะจงเป็นผลโดยตรงจากการเก็บข้อมูลดังกล่าว ซึ่งอาจทำให้ผู้ใช้รู้สึกว่าถูกเฝ้าติดตามตลอดเวลา

จากมุมมองของหน่วยงานกำกับดูแลในประเทศไทย การร่างและบังคับใช้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้กำหนดให้ผู้ควบคุมข้อมูลต้องได้รับความยินยอมอย่างชัดเจนก่อนการเก็บรวบรวมข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ หากพบว่าผู้พัฒนาแอปไม่ปฏิบัติตามอาจต้องรับโทษปรับตามระดับความร้ายแรงของการละเมิด นอกจากนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (กคค.) ได้ออกแนวทางให้ผู้พัฒนาแอปต้องระบุประเภทของข้อมูลที่เก็บและผู้รับข้อมูลในเอกสารความเป็นส่วนตัวอย่างชัดเจน

อย่างไรก็ตาม การบังคับใช้กฎระเบียบดังกล่าวยังเผชิญกับอุปสรรคหลายประการ หนึ่งในนั้นคือความยากลำบากในการตรวจสอบว่าตัวตรวจจับใดบ้างที่ทำงานในแอปที่มีจำนวนหลายล้านรายการในสโตร์ การตรวจสอบโดยตรงจากหน่วยงานอาจต้องใช้ทรัพยากรจำนวนมากและอาจไม่ทันต่อการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยี นอกจากนี้ ผู้ใช้ส่วนใหญ่ยังขาดความรู้และเครื่องมือที่จำเป็นในการตรวจสอบความเป็นส่วนตัวของแอปของตนเอง ทำให้การบังคับใช้กฎหมายขึ้นกับความร่วมมือจากผู้พัฒนาและผู้ให้บริการแพลตฟอร์มอย่าง Google Play

การตอบสนองของ Google Play ต่อประเด็นนี้ก็มาจากการอัปเดตนโยบายความเป็นส่วนตัวของสโตร์ในปี 2023 ซึ่งกำหนดให้ผู้พัฒนาต้องกรอกข้อมูลเกี่ยวกับ SDK ที่ใช้ในฟอร์ม “Data Safety” อย่างละเอียดและต้องระบุว่ามีการเก็บข้อมูลส่วนบุคคลหรือไม่ การเปิดเผยข้อมูลเหล่านี้ต่อผู้ใช้บนหน้ารายละเอียดของแอปทำให้ผู้ใช้สามารถตัดสินใจดาวน์โหลดหรือไม่ได้โดยอิงจากระดับความเสี่ยงของข้อมูล อย่างไรก็ตาม การตรวจสอบของนักวิจัยอิสระพบว่าข้อมูลในฟอร์ม “Data Safety” ยังมีช่องโหว่เช่น การระบุว่าการเก็บข้อมูลเป็น “ไม่เป็นส่วนบุคคล” แม้ว่าจะมีการส่งข้อมูลตำแหน่งที่ตั้งหรือข้อมูลอุปกรณ์ที่สามารถระบุตัวตนได้

จากการสำรวจของ Exodus Privacy ที่ครอบคลุมแอปหลากหลายหมวดหมู่ พบว่าแอปประเภทสุขภาพและฟิตเนส มีการใช้ SDK ของบริษัทโฆษณาที่สามารถเข้าถึงข้อมูลสุขภาพเบื้องต้น เช่น จำนวนก้าวเดินหรือระดับการเต้นของหัวใจ ซึ่งอาจถูกนำไปวิเคราะห์เพื่อการตลาดหรือการสร้างแบบจำลองพฤติกรรม การเก็บข้อมูลประเภทนี้โดยไม่มีการขอความยินยอมจากผู้ใช้อาจขัดต่อหลักการของ PDPA ที่กำหนดให้ข้อมูลสุขภาพถือเป็นข้อมูลที่ต้องได้รับการคุ้มครองเป็นพิเศษ

การวิเคราะห์เชิงสถิติของข้อมูลที่ได้จากการสแกน 3,000 แอปโดย Exodus Privacy ชี้ให้เห็นว่ามีแนวโน้มที่ตัวตรวจจับจากบริษัทเดียวกันจะปรากฏในหลายแอปพร้อมกัน ตัวอย่างเช่น SDK ของ Google Analytics ปรากฏในกว่า 55 % ของแอปที่ตรวจสอบ ส่วน SDK ของ Facebook (รวมถึง Facebook Login, Facebook Analytics, Facebook Audience Network) พบในประมาณ 38 % ของแอป การใช้ SDK เหล่านี้เป็นที่นิยมเนื่องจากความสะดวกในการติดตั้งและการสนับสนุนด้านการวิเคราะห์ที่ครบวงจร อย่างไรก็ตาม ความนิยมดังกล่าวก็มาพร้อมกับความเสี่ยงด้านการเปิดเผยข้อมูลส่วนบุคคลต่อบริษัทขนาดใหญ่หลายแห่ง

ในระดับนโยบายสาธารณะ การรายงานของ Exodus Privacy ยังส่งผลให้บางบริษัทเริ่มพิจารณาปรับปรุงนโยบายความเป็นส่วนตัวและการเปิดเผยข้อมูลของตนเอง ตัวอย่างเช่น บริษัทโฆษณาแห่งหนึ่งได้ประกาศว่าจะเปิดเผยรายการ SDK ที่ใช้ในแอปของตนบนเว็บไซต์สาธารณะและจะให้ผู้พัฒนาสามารถเลือกปิดการส่งข้อมูลบางประเภทได้โดยตรงจากแดชบอร์ดของบริการ อย่างไรก็ตาม การเปลี่ยนแปลงดังกล่าวยังอยู่ในระยะทดลองและอาจต้องใช้เวลานานกว่าจะเห็นผลกระทบต่อผู้ใช้ทั่วไป

สำหรับผู้บริโภคที่ต้องการลดความเสี่ยงจากการถูกติดตามโดยแอปบนอุปกรณ์ Android มีขั้นตอนที่สามารถทำได้หลายวิธี แม้ว่า Exodus Privacy จะเป็นเครื่องมือที่ช่วยให้ผู้ใช้ทราบว่ามีตัวตรวจจับใดบ้างในแอปที่ติดตั้งอยู่ แต่การป้องกันเชิงรุกยังต้องอาศัยการตั้งค่าความเป็นส่วนตัวในระบบปฏิบัติการ Android เอง ผู้ใช้สามารถตรวจสอบและจัดการสิทธิ์ของแต่ละแอปได้จากเมนู “แอปและการแจ้งเตือน” → “สิทธิ์ของแอป” โดยการปิดสิทธิ์การเข้าถึงตำแหน่ง, ไมโครโฟน, กล้อง หรือข้อมูลอุปกรณ์สำหรับแอปที่ไม่จำเป็น นอกจากนี้ Android เวอร์ชัน 12 ขึ้นไปยังมีฟีเจอร์ “การอนุมัติครั้งเดียว” (One‑time permission) ที่ให้ผู้ใช้อนุญาตการเข้าถึงข้อมูลเป็นครั้งเดียวแล้วระบบจะรีเซ็ตสิทธิ์นั้นอัตโนมัติเมื่อแอปถูกปิด

อีกทางเลือกหนึ่งคือการใช้แอปบล็อกการเชื่อมต่อ (firewall) ที่ทำงานบนอุปกรณ์โดยตรงหรือผ่าน VPN เพื่อบล็อกการติดต่อของ SDK ไปยังเซิร์ฟเวอร์ของบริษัทภายนอก ตัวอย่างเช่น Blokada, NetGuard หรือ AFWall+ ซึ่งสามารถกำหนดกฎการอนุญาตหรือบล็อกการส่งข้อมูลตามโดเมนได้ แม้ว่าการใช้วิธีนี้อาจทำให้ฟีเจอร์บางอย่างของแอปทำงานไม่เต็มที่ แต่ก็เป็นวิธีที่ช่วยลดปริมาณข้อมูลที่ถูกส่งออกโดยไม่ได้รับความยินยอม

จากมุมมองของผู้วิจัยด้านความเป็นส่วนตัว การวิเคราะห์ความเสี่ยงของ SDK ควรพิจารณาไม่เพียงแต่จำนวนตัวตรวจจับเท่านั้น แต่ยังต้องคำนึงถึงประเภทของข้อมูลที่แต่ละ SDK เก็บรวบรวมและวิธีการจัดการข้อมูลดังกล่าว ตัวอย่างเช่น SDK ของ Firebase มีหลายโมดูลที่อาจทำหน้าที่เก็บข้อมูลการใช้งาน, การส่งข้อความพุช, หรือการวิเคราะห์ความผิดพลาดของแอป การที่ผู้พัฒนาเลือกเปิดใช้หรือปิดโมดูลเหล่านี้โดยเจตนาจะส่งผลต่อระดับความเสี่ยงของข้อมูลส่วนบุคคลอย่างมีนัยสำคัญ

การตรวจสอบโดย Exodus Privacy ยังพบว่าบางแอปใช้ “obfuscation” หรือการทำให้โค้ดซับซ้อนขึ้นเพื่อปกปิดตัวตรวจจับจากการสแกนแบบดั้งเดิม ซึ่งทำให้เครื่องมือสแกนแบบเปิดอาจไม่สามารถตรวจจับได้ทั้งหมด การใช้เทคนิคนี้มักพบในแอปที่ต้องการปกป้องข้อมูลภายในหรือในแอปที่ต้องการหลีกเลี่ยงการตรวจสอบของผู้ตรวจสอบอิสระ แม้ว่าการทำ obfuscation จะไม่ผิดกฎหมายโดยตรง แต่การซ่อนการเก็บข้อมูลส่วนบุคคลจากผู้ใช้โดยไม่เปิดเผยอาจขัดต่อหลักการของความโปร่งใสตาม PDPA

ในแง่ของแนวโน้มในอนาคต นักวิจัยหลายคนคาดว่าแอปบน Android จะยังคงพึ่งพา SDK จากบริษัทภายนอกต่อไป เนื่องจากต้นทุนการพัฒนาและความต้องการฟีเจอร์ที่ซับซ้อน การเปลี่ยนแปลงรูปแบบการทำงานของ SDK ให้เป็น “privacy‑first” หรือการออกแบบ SDK ที่สามารถทำงานได้โดยไม่ต้องส่งข้อมูลส่วนบุคคลไปยังเซิร์ฟเวอร์ภายนอกอาจเป็นทิศทางหนึ่งที่อุตสาหกรรมกำลังพิจารณา ตัวอย่างเช่น Google มีการพัฒนา “Google Play Services for privacy” ซึ่งอาจช่วยให้ผู้พัฒนาสามารถใช้ฟังก์ชันพื้นฐานเช่นการวิเคราะห์การใช้งานโดยทำการประมวลผลข้อมูลบนอุปกรณ์ (on‑device processing) แทนการส่งข้อมูลไปยังคลาวด์

สรุปได้ว่าแอปบนระบบ Android มีการฝังตัวตรวจจับหลายประเภทที่ทำหน้าที่เก็บข้อมูลผู้ใช้และส่งต่อให้กับบุคคลที่สาม ทั้งนี้การตรวจสอบโดย Exodus Privacy แสดงให้เห็นว่าจำนวนตัวตรวจจับที่พบในแอปส่วนใหญ่มีความหลากหลายและมักอยู่ในระดับหลายสิบรายการต่อแอป การมีตัวตรวจจับจำนวนมากทำให้ความเป็นส่วนตัวของผู้ใช้ถูกคุกคามในหลายระดับ ตั้งแต่การระบุตำแหน่งที่ตั้งจนถึงข้อมูลพฤติกรรมการใช้งาน การตอบสนองต่อปัญหานี้ต้องอาศัยความร่วมมือจากหลายฝ่าย ทั้งผู้พัฒนาแอปที่ต้องใส่ใจในการคัดเลือกและเปิดเผย SDK ที่ใช้ ผู้ให้บริการแพลตฟอร์มที่ต้องบังคับใช้การเปิดเผยข้อมูลอย่างโปร่งใส หน่วยงานกำกับดูแลที่ต้องตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และผู้ใช้ที่ควรใช้เครื่องมือเช่น Exodus Privacy หรือแอปบล็อกการเชื่อมต่อเพื่อทำความเข้าใจและควบคุมการส่งข้อมูลของตนเอง การสร้างระบบนิเวศที่เน้นความเป็นส่วนตัวและความโปร่งใสจะเป็นแนวทางสำคัญในการลดความเสี่ยงจากการติดตามที่ไม่ได้รับความยินยอมในยุคดิจิทัลนี้.