Сбор пользовательских данных достиг невиданных масштабов

Корпоративная мобильность
мобильная версия
, Текст: Елена Менькова / Фото: ru.depositphotos.com

90% Android-приложений отсылают личные данные пользователей другим компаниям, таким как Facebook, Google и Amazon, утверждают ученые из Оксфордского университета. Ситуация осложняется тем, что зачастую надзорные органы, пользователи, а иногда разработчики и рекламодатели не имеют четкого представления, какие именно данные и в каком объеме поступают в распоряжение третьих лиц. Еще в одном исследовании говорится, что даже удаление приложений стало одним из инструментов, позволяющих следить за пользователями.


Большой брат сотоварищи

Девять из десяти приложений для устройств под управлением Android отправляют пользовательские данные в Alphabet, материнскую компанию Google, или аффилированным с ней предприятиям, а также в Facebook, Twitter, Verizon, Microsoft и Amazon. Исследователи в области информационной безопасности из Оксфордского университета проанализировали порядка 1 млн приложений, доступных в магазине Google Play, и выяснили, что передачей информации занимаются даже те программы, которые прямо не указывают об этом. Причем, ученые отдельно отмечают: новостные приложения и приложения, ориентированные на детей, отсылают данные наибольшему количеству сторон.

Как говорится в докладе, опубликованном исследователями, приложения с помощью специальных трекеров собирают из пользовательского профиля данные, содержащие, к примеру, такую информацию, как возраст и пол, сведения о местоположении, в том числе о близлежащих вышках связи или маршрутизаторах Wi-Fi, а также о других установленных на телефоне программах. Это позволяет создавать подробные персонализированные профили с выводами о покупательских привычках, социально-экономическом положении или вероятных политических взглядах пользователя. Впоследствии эти профили могут применяться для решения различных задач: от целевой рекламы до кредитного скоринга и направленных политических кампаний.

Авторы исследования связывают грандиозные масштабы сбора данных с ростом количества приложений, распространяемых по модели freemium («базовая функциональность доступна бесплатно, остальное – за деньги»). В связи с этим многие разработчики и поставщики программ переориентировались на получение дохода от рекламы и обмена информацией, а не от прямых продаж ПО и услуг. То есть, фактически потребители своими данными оплачивают использование приложений.

Как указывают авторы доклада, проблема осложняется тем, что пользователи, надзорные органы, а иногда даже разработчики и рекламодатели не знают о том, какой объем личных данных попадает в распоряжение цифровых рекламных групп, брокеров и посредников, специализирующихся на покупке, обработке и продаже и персональной информации. Это связано в том числе и с тем, что концентрация данных в руках крупнейших мировых технологических компаний часто маскируется сетью дочерних предприятий, собирающих сведения из приложений для гаджетов.

Исследователи описывают это явление, как «очень важное» и представляющее значительные затруднения не только для надзорных органов, стремящихся обеспечить соблюдение закона, но и для компаний, которые должны его соблюдать. И по прогнозам аналитиков, последствия для бизнеса, особенно в отношении коммуникационных приложений, могут оказаться серьезными.

Пользовательские профили могут применяться для решения различных задач: от целевой рекламы до кредитного скоринга и направленных политических кампаний

Компания Google уже оспорила выводы ученых, заявив, что те неправильно интерпретировали «обычные функции приложений», необходимые для отправки отчетов о сбоях и их аналитики.

«В Google и Google Play есть четкие правила и рекомендации относительно того, как разработчики и сторонние приложения могут обрабатывать данные, и мы требуем от разработчиков быть прозрачными и запрашивать разрешение пользователя. Если приложение нарушает наши правила, мы принимаем меры», – сообщили представители Google изданию Financial Times.

В свою очередь руководитель научной группы, проводившей исследование, Рубен Биннс (Reuben Binns) отметил, многие поставщики приложений изначально запрашивают «чрезмерные разрешения» для получения данных и оставляют за собой право сохранять их для анализа и дальнейшей перепродажи, тем самым выходя за рамки простого использования, такого как отчеты о сбоях. И по словам юристов, у пользователей нет доступа к информации об объемах собираемых данных, они не могут контролировать, с кем приложения обмениваются этими данными, нет легкодоступных настроек или виджетов, позволяющих управлять этой опцией.

Также исследование показало, что 90% приложений могут передавать данные третьим сторонам из США, 5% отправлять их в Китай и 3% – в Россию.

Деинсталляция – не панацея

Не только установка приложений, но и их удаление может предоставлять возможность для сбора пользовательских данных. Об этом говорится в еще одном исследовании, опубликованном изданием Bloomberg.

Компании, обслуживающие поставщиков ПО, нашли способ, как отследить удаление приложений со смартфонов пользователей. Для контроля деинсталляции применяется ключевой элемент iOS и Android – push-уведомления. Разработчики используют его для регулярной проверки установленных приложений без предупреждения пользователя: например, для обновления входящих сообщений или ленты социальных сетей в фоновом режиме. И если ПО не отправляет ответный сигнал разработчику, оно регистрируется как удаленное, а специальные трекеры добавляют изменения в файл, связанный с уникальным рекламным идентификатором данного мобильного устройства. Эти детали позволяют легко определить, кому принадлежит смартфон, и отправлять сообщения, предлагающие повторно установить удаленное приложение, и даже демонстрировать рекламные объявления.

Adjust, AppsFlyer, MoEngage, Localytics и CleverTap входят в число компаний, предлагающих подобные средства для контроля деинсталляции. Обычно эти утилиты идут в комплекте с более широким набором инструментов для разработчиков. Некоторые поставщики заявляют, что эти средства предназначены для сбора информации о качестве поставляемого продукта и о реакции пользователей на обновления приложений.

Критики утверждают, что в лучшем случае, эта возможность должна использоваться только для исправления ошибок или иного улучшения ПО без беспокойства пользователей опросами или более навязчивыми инструментами. Иначе подобная практика нарушает правила публикации программного обеспечения в App Store и Google Play.

«Большинство технологических компаний не предоставляют людям вариантов выбора настроек конфиденциальности, если они вообще дают им выбор», – говорит Джереми Гиллула (JeremyGillula), директор по технической политике некоммерческой организации Electronic Frontier Foundation.

И, по словам экспертов, это еще одна из причин для пересмотра границ приватности в интернете и введения более строгих правил для использования бизнесом персональных данных.

Когда отсутствие защиты лучше самой защиты

Многие пользователи для защиты своих данных устанавливают специализированное ПО. Чаще всего применяется целый ряд инструментов, таких как утилиты для создания VPN-соединения, блокировщики рекламы, блокировщики программ с функцией установки пароля для отдельных приложений, браузеры Tor. Но использование подобного программного обеспечения сопряжено с многочисленными рисками, особенно при отсутствии надлежащих базовых знаний. И, как указывают специалисты, не все из приложений обеспечивают приемлемый уровень безопасными, а в некоторых случаях их использование может привести к плачевным результатам.

Так, большинство средств защиты запрашивают широкий доступ к личной информации и во многих случаях это оправдано и необходимо. Например, для работы антивирусного ПО требуются такие сведения, как история браузера, личные файлы и уникальные идентификаторы. Но зачастую приложения запрашивают больших прав доступа, чем требуется для функциональности. Эксперты изучили в магазине Google Play топ-10 антивирусных приложений, блокировщиков ПО и блокировщиков рекламы. Как оказалось, антивирусные программы чаще всего получают доступ практически ко всем данным, хранящимся в мобильном телефоне.

Кроме того, эксперты отмечают, что иногда мобильные средства безопасности не обеспечивают защиту на ожидаемом уровне или не предоставляют заявленные услуги вообще. Например, в 2017 г. исследователи из Технологического института Джорджии, США, создали вредоносный программный инструмент, который смог обойти 95% коммерческих антивирусных средств Android. Другое исследование показало, что 18% мобильных VPN-приложений вообще не шифруют пользовательский трафик. В последнее время появились сообщения о поддельных антивирусных программах, которые открывают лазейки для вредоносного ПО. Ранее в этом году сообщалось, что 20 млн пользователей Google Chrome скачали поддельные расширения для блокировки рекламы. Это иллюстрирует, как много личной информации доверяют пользователи этим приложениям и их разработчикам, не располагая знаниями о них.

В связи с этим эксперты советуют устанавливать дополнительные средства безопасности, такие как блокировщики рекламы, блокировщики приложений и VPN-клиенты, только если это абсолютно необходимо. Отдача от такого программного обеспечения может быть минимальной по сравнению с сопутствующими рисками.

Также желательно придерживаться решений от известных производителей. Перед инсталляцией приложения рекомендуется прочитать его описание и отзывы других пользователей, узнать, что оно делает, и самое главное что он не делает, какие разрешения оно запрашивает. И уже после этого решать, имеет ли установка этого ПО смысл.