Знаменитое фитнес-приложение «сливает» данные десятков миллионов пользователей

Безопасность Пользователю
мобильная версия
, Текст: Сергей Попсулин

Европейский совет по защите прав потребителей выяснил, что популярное фитнес-приложение Runkeeper, которым пользуются десятки миллионов человек, без их ведома регулярно записывает их маршрут и передает его рекламодателю. Это происходит, если просто оставить включенным смартфон. 


Жалоба на Runkeeper

Норвежский совет потребителей выяснил, что популярное мобильное приложение Runkeeper для iPhone и Android продолжает отслеживать местоположение пользователя даже когда смартфон не используется. Более того, информация о маршруте передвижения передается стороннему лицу — американской рекламной сети Kiip.me.

Это выяснилось в ходе исследования, проведенного по заказу вышеупомянутого органа организацией SINTEF. Результаты вынудили совет подать официальную жалобу в Агентство по надзору за соблюдением законодательства о защите персональных данных в Норвегии с требованием проверить, не нарушает ли приложение закон, и не требуется ли вмешательство властей. 

Свыше 47 млн пользователей

Runkeeper — одно из самых популярных приложений для фитнеса. По официальным данным, им пользуются свыше 47 млн человек во всем мире. С помощью встроенного в смартфон GPS-приемника оно вычисляет скорость передвижения, проделанное расстояние, количество сожженных калорий и другие данные, позволяет составлять маршруты пробежек, делиться результатами с друзьями и т. д. Разработчик приложения — американская компания FitnessKeeper, расположенная в штате Массачусетс. 

Весь спектр претензий

По словам сотрудников Норвежского совета потребителей, о том, что Runkeeper продолжает отслеживать местоположение в неактивном режиме, разработчики нигде не упоминают.  В ходе исследования выяснилось, что приложение продолжает собирать данные, даже когда смартфон в течение 48 часов находится в состоянии бездействия. 

Популярное фитнес-приложение оказалось замешано в «сливе» данных

Помимо этого, Runkeeper собирает персональные данные без ограничения по объему, а это уже является нарушением европейских законов о защите персональных данных. Согласно действующей в Европе Директиве о защите данных, любая организация, осуществляющая такую деятельность, должна ограничивать объем сбора и время хранения данных, а именно — удалять их после того, как они перестают быть актуальными.

В пользовательском соглашении Runkeeper нет слов ни о том, ни о другом. Более того, разработчик не гарантирует удаление данных при удалении аккаунта. Он лишь говорит, что в этом случае «пользователь утратит возможность получения к данным доступа». 

Цель исследования

Цель исследования заключалась в том, чтобы выяснить, какие данные приложения в действительности отправляют с пользовательского устройства, и работают ли они в рамках законов о защите персональных данных. В ходе исследования SINTEF проверяла потоки данных как во время работы приложений, так и в период бездействия пользователя. 

В итоге выяснилось, что многие приложения, включая Runkeeper, недостаточно ответственно относятся к персональным данным. По неизвестной причине они требуют гораздо более широких привилегий в системе для работы. Многие приложения (Runkeeper опять же в их числе) запрашивают неограниченный доступ к данным пользователя с правом передавать их третьим лицам. 

Помимо Runkeeper, нарекания вызвали еще два приложения — Vipps и Happn. Vipps - норвежское приложение, позволяющее переводить деньги по номеру телефона. В свою очередь, Happn - приложение для знакомств, позволяющее находить и знакомиться с людьми, с которыми у пользователя пересекаются маршруты.