Как определить, что мобильное приложение шпионит за вами. Оно совершает эти 6 действий
Утечка личных данных — одна из главных проблем цифровой эпохи. Эти же данные являются основным источником дохода для большинства крупных ИТ-компаний. Неудивительно, что разработчики всеми способами пытаются их получить. Это пять распространённых признаков приложения-шпиона.
Запрашивает доступ к данным, которые ему не нужны
Создатель софта для цифровой безопасности Avast обнаружил, что приложения для Android злоупотребляют разрешениями на использование данных и функций смартфонов. Они стабильно запрашивают доступ к файлам и возможностям, которые им не нужны.
Установил "фонарик" — потерял данные. Как приложения на Android обманывают вас
Простой пример — приложение фонарика. Для его работы необходим доступ разве что к фотовспышке, при этом приложение запрашивает доступ к контактам, микрофону или памяти. Если софт просит доступ к данным, которые ему не нужны, скорее всего, это делается для их передачи третьим лицам.
Не разрешайте приложениям доступ к данным и функциям, которые ему не нужны. Перед запуском обратите внимание, к чему софт запрашивает доступ. Если условный фонарик просит доступ к файлам на устройстве (фото, видео, документы), не разрешайте — ему это ни к чему.
Обычно пользователи в этом случае поступают так же, как с лицензионным соглашением, то есть просто принимают условия, не читая. Этим и пользуются злоумышленники. Не ленитесь и не жалейте времени — этот процесс займёт не более десяти секунд.
Имеет длинное пользовательское соглашение
Перед тем как установить приложение на свой мобильный телефон, желательно ознакомиться с его политикой конфиденциальности, так как всегда есть риск допустить утечку данных.
В условиях использования может скрываться подвох, а маскируют его, как правило, сложными формулировками. Поэтому 99% таких сопроводительных инструкций никто не читает из-за сложности восприятия языка.
«Роскачество» советует отказаться от установки приложения, если к нему предлагается слишком длинный перечень сопроводительной информации. Основные условия должны быть изложены просто и понятно. Важно обратить внимание на перечень данных, передаваемых третьим лицам — посредникам и партнёрам разработчика. Если же текст длинный и с множеством непонятных слов, скорее всего, разработчикам есть что скрывать.
Использует сторонние приложения
Пользователь Twitter под ником Joshua Maddux заметил одну странность Facebook на iPhone: когда он открывает приложение соцсети, вместе с ним открывается приложение камеры.
Эту же проблему он обнаружил на пяти разных iPhone, работающих под управлением iOS версии 13.2.2. Журналисты издания TheNextWeb проверили и подтвердили информацию. Проблема возникает, если вы предоставили Facebook доступ к своей камере.
Found a @facebook #security & #privacy issue. When the app is open it actively uses the camera. I found a bug in the app that lets you see the camera open behind your feed. Note that I had the camera pointed at the carpet. pic.twitter.com/B8b9oE1nbl
— Joshua Maddux (@JoshuaMaddux) November 10, 2019
Остаётся неясным, ошибка ли это в программном обеспечении или целенаправленная слежка за пользователями. В случае с Facebook скорее стоит склоняться к первому. У соцсети ужасная репутация, прежде всего из-за передачи данных пользователей третьим лицам. Вполне вероятно, что политику конфиденциальности они и здесь не соблюдают.
Предлагает широкую базу данных
В 2018 году многие люди устанавливали приложения, которые помогали отсеивать спам-звонки. Одной из таких была GetContact. С одной стороны, такие приложения полезны, но они же могут быть и опасны.
Эти приложения получают данные о входящих звонках. Естественно, заявляют, что данные никому не передают, но на их серверы эти данные попадают. Когда вы делитесь своей контактной книгой, вы добавляете ваших друзей и знакомых в публичную базу данных. Это противоречит законам о персональных данных многих государств, в том числе России. Эта база номеров может быть продана третьим лицам для рассылки спама.
Кроме того, вы сливаете свой номер телефона. Если вы установили GetContact и разрешили доступ к контактам и вызовам, готовьтесь к наплыву спама.
К счастью, надёжные компании увидели высокий спрос на приложения, распознающие спам, и предложили свои аналоги. Теперь эта функция есть в приложениях «Яндекса», 2ГИС и «Одноклассников». Наплыв спама после разрешения доступа к личным данным не наблюдается.
Размещает у себя рекламу
Исследователи из Оксфордского университета изучили работу почти 1 млн приложений для операционной системы Android. Выяснилось, что почти 90% программ передают информацию о пользователях компании Google, которой принадлежат операционная система и магазин приложений Play Маркет.
Специалисты изучили примерно треть приложений, доступных в Google Play в 2017 г. Как оказалось, половина из них могут передавать данные 10 сторонним компаниям, а 20% приложений — более чем 20 организациям. Руководитель исследования Рубен Биннс объясняет ситуацию тем, что данные пользователей — их основной заработок.
Почти во всех исследованных приложениях размещена таргетированная реклама. Это баннеры, в которых рекомендации появляются на основе ваших поисковых запросов. Такая информация помогает маркетологам разрабатывать новую рекламу. Эти данные компании и покупают.
Оно — сервис видеоконференций. Этого достаточно
Как распознать, что вас прослушивают в Zoom. 4 проблемы сервисов видеоконференций
Этот тот тип приложений, которые по умолчанию уязвимы ко взлому. Поэтому за вами легко могут следить, вашу беседу легко сольют в открытый доступ. Так случилось с Zoom. По данным The Washington Post, в открытый доступ попали тысячи видеозвонков пользователей Zoom. На YouTube, Vimeo и других сайтах были размещены школьные занятия, сеансы у психотерапевтов, совещания и другие видеовстречи.
Издание The Intercept рассказало, что видеозвонки в Zoom не защищены сквозным шифрованием, когда доступ к беседе имеют только участники. Простыми словами: сквозное шифрование (end-to-end, E2E) — это когда система превращает текст или файлы в набор символов, а расшифровать их могут только собеседники (система сделает это автоматически). Сервис при этом может иметь доступ к этим данным, его также могут получить злоумышленники. Но, если ключа нет, значит, и возможности разобраться в них не будет.
Профессор компьютерных наук Университета Джонса Хопкинса Мэтью Грин считает, что проблема касается не только Zoom, но и других сервисов видеозвонков. В групповых видеоконференциях в принципе сложно реализовать сквозное шифрование. Это связано с оптимизацией потокового видео: системе нужно понимать, кто говорит, чтобы передавать его видеопоток с более высоким разрешением и снижать качество для других участников.
Приложений видеоконференций со сквозным шифрованием единицы. Среди них — FaceTime, доступный только на устройствах Apple. В остальных вы неминуемо будете под угрозой.
Как же быть с утечкой данных?
К сожалению, от утечки данных никуда не деться. Это основной и самый ценный товар в цифровом пространстве, на нём завязана экономика. Просто смиритесь, что ваши данные уже есть у тех, кому они нужны.
Единственное — вы можете снизить количество утечек к минимуму. Для этого смотрите, чтобы приложения не получали доступ к файлам, функциям и другим приложениям, которые им не нужны. Тогда вы хотя бы защититесь от спамеров.
Почему Google блокирует обновление приложения Сбера и безопасно ли его обновлять?
Google Play Защита в некоторых случаях блокирует обновление приложения Сбербанка, которое установлено не из Google Play, а с сайта банка. «Приложение собирает данные, которые могут использоваться для слежки за вами. Это приложение может представлять угрозу для устройства», — говорится в сообщении. Однако можно проигнорировать предупреждение и всё равно обновить приложение. В связи с этим вопрос: почему Google блокирует обновление приложения Сбера и безопасно ли обновлять приложение в таком случае?
Ответ эксперта
Отвечаем на потребительские вопросы о финансах
Эксперт по кибербезопасности «Вебмониторэкс» Екатерина Старостина отмечает, что Google блокирует обновление приложения Сбера из-за санкций.
Чтобы защитить свои данные при использовании приложения Сбербанка, пользователи должны обеспечить безопасность и конфиденциальность всей личной информации, избегать предоставления каких-либо ненужных разрешений или прав доступа и устанавливать приложение только из надёжного источника, то есть с официального сайта Сбербанка или RuStore.
Кроме того, необходимо регулярно проверять наличие обновлений и исправлений безопасности для операционной системы своего устройства.
Таким образом, если пользователь уверен, что скачал приложение с сайта Сбербанка или RuStore, то и обновить его тоже можно. Однако важно убедиться, что приложение обновляется из надёжного источника. Если есть сомнения в подлинности источника, то лучше вообще не обновлять и не скачивать новые версии приложения. Кроме того, пользователи должны всегда читать любые разрешения и политики конфиденциальности, связанные с приложением, прежде чем загружать или обновлять его, чтобы понять, какие данные могут собираться приложением и как эти данные могут использоваться.
По словам эксперта в области информационной безопасности AtreIdea Сергея Белова, Google блокирует обновление приложения Сбербанка, которое установлено не из Google Play, потому что оно не прошло проверку на безопасность и соответствие стандартам безопасности, которые требуются для приложений, опубликованных в Google Play. Google использует систему защиты, которая автоматически анализирует приложения на наличие вредоносного кода и других потенциально опасных элементов. Если приложение не соответствует стандартам безопасности, оно может быть заблокировано. В случае с приложением Сбербанка, которое установлено не из Google Play, защита может блокировать обновление приложения, если обнаружены подозрительные действия, например сбор данных, которые могут использоваться для слежки за пользователем. Это связано с тем, что приложение не прошло проверку на безопасность со стороны Google и Google не может гарантировать, что данные пользователей будут защищены.
Если приложение Сбербанка было загружено с официального сайта банка и не прошло проверку на безопасность со стороны Google, то обновление этого приложения можно считать достаточно безопасным. Однако необходимо понимать, что приложения, загруженные не из официальных магазинов приложений, могут содержать вредоносный код, который может привести к хищению финансовых средств и личных данных пользователя, поэтому стоит с осторожностью относиться к загрузке приложений с неофициальных сайтов. Также для устройств на базе Android целесообразным может стать использование антивирусных решений.
Операционный директор компании «Мультифактор» Виктор Чащин подтверждает: «Если вы уверены, что скачиваете приложение Сбера с их сайта, а не любой другой компании, предупреждения о безопасности и сборе персональных данных — нормальное явление, которое в целом можно игнорировать».
Генеральный директор компании Pointlane Павел Мельников объясняет, что Google блокирует обновление приложения Сбера, так как мобильное приложение «Сбербанк онлайн» больше недоступно для скачивания и обновления в Google Play из-за санкций в отношении банка.
Установить или обновить приложение можно с официального сайта компании, который предлагает как установить приложение напрямую через браузер (скачав и установив файл), так и воспользоваться сторонними магазинами, в которых приложение по-прежнему доступно (App gallery, Rustore и другие). Установка неизвестных приложений из сети несёт в себе риски для безопасности устройства, поэтому по стандарту эта функция отключена, а при её включении пользователь будет уведомлен о возможных рисках.
Что касается обновления приложения, то — да, это безопасно. Запрет на установку приложений из незнакомых источников — это стандартная практика безопасности на устройствах Android. При установке приложения из Google Play или других официальных магазинов пользователю даётся гарантия того, что приложение было проверено на предмет безопасности и не несёт в себе никаких рисков. Однако, устанавливая неизвестные и не проверенные приложения из сети или других источников, безопасность вашего устройства не может быть гарантирована.
«Приложение собирает данные, которые могут использоваться для слежки за вами. Это приложение может представлять угрозу для устройства» — это стандартная фраза, которая в разных вариациях уведомляет пользователя о том, что приложение может собирать информацию с устройства под разными предлогами. Такое же уведомление появится, если вы будете устанавливать, например, навигатор или другое приложение, которое для своей работы будет отслеживать ваше местоположение.
Все приложения на устройствах Android, которые для своего функционирования требуют дополнительные разрешения, будь то доступ к вашему местоположению или к записной книжке, нуждаются в аффирмации пользователем. Проще говоря, если приложению нужны какие-то дополнительные разрешения для корректной или полной работы (доступ к местоположению, изменению файлов и другое), то приложение обязано получить согласие пользователя о том, что он предоставляет приложению дополнительные разрешения. Если разрешение не было получено, то приложению не будут доступны запрашиваемые им данные, что, в свою очередь, может уменьшить функционал.
Android Tech Lead в X5 Tech Артемий Терехов добавляет, что в последние годы Google активно развивает безопасность мобильной ОС Android. С каждой новой версией появляется всё больше различных ограничений, чтобы максимально обезопасить пользователя от различного вида угроз и вредоносных приложений.
Когда разработчик загружает своё приложение в Play Market, оно подвергается тщательной проверке и в случае успешной проверки публикуется в общий доступ. При этом Google гарантирует, что разработчик является официальным, указал полную информацию о приложении и несёт за это полную ответственность. В случае не выполнения требований приложение может быть удалено и в крайних случаях полностью заблокирован аккаунт разработчика в Google Play. Это первая линия защиты приложений на мобильных устройствах.
В самой операционной системе Android также постоянно работает сервис Google Play Protect, который на ежедневной основе сканирует все установленные приложения на миллионах устройств. Данная служба также следит за регулярными обновлениями своих баз, чтобы обеспечить актуальные данные защиты. Проверка проводится не только по сигнатурному анализу, но и с использованием машинного обучения. Google Play Protect мониторит установку не только из Google Play, но также и из сторонних источников. В случае обнаружения опасного или потенциально опасного приложения система оповещает пользователя об этом или выдаёт предупреждение. Далее пользователь может либо отключить или заблокировать приложение, либо удалить его полностью. Аналогичное поведение и при обновлении приложений. Это не гарантирует полной безопасности, так как имеется и человеческий фактор, но система постоянно совершенствуется и пытается максимально обезопасить пользователя устройства.
В случае с блокировкой обновлений приложения Сбера из описания работы системы можно сделать логичный вывод, что дело не в самом приложении, которое ранее присутствовало в официальном магазине Google Play, а в алгоритмах работы Google Play Protect. Видимо, приложение Сбера использует большое количество системных функций, которые собирают много информации об устройстве, такой как IMEI, серийный номер, номер телефона, контакты, местоположение и другие. А поскольку приложение теперь устанавливается не из Google Play, то система защиты считает такое приложение потенциально опасным и предупреждает об этом.
Теперь меньше контроля со стороны первой линии защиты в виде Google Play, но если вы и раньше пользовались приложением Сбера, то никакой опасности такие обновления не несут. Поскольку официальным магазином приложений для ОС Android является только Google Play, то все приложения, установленные не из этого магазина, могут попасть в потенциально опасные. К слову, исключение может быть для устройств Huawei, где есть собственный системный магазин приложений на их устройствах, но там, как правило, и нет похожей службы Google Play Protect.
Мобильные приложения за вами следят
Мобильные приложения могут отслеживать ваше местоположение и продавать данные о нем третьим лицам. Что с этим можно сделать?
Некоторые мобильные приложения отслеживают данные о местоположении и скрытно передают их сервисам, которые эти данные собирают и продают. Вы почти наверняка пользуетесь хотя бы одним таким приложением, даже не подозревая об этом. Как выявить шпионящее приложение — и что с этим можно сделать?
Какие мобильные приложения следят за вами
В марте, когда пандемия еще только начиналась, в твиттере компании Tectonix появилась красивая визуализация того, как люди, отдыхавшие на одном из пляжей во Флориде, впоследствии разъехались по всей территории США. Она основывалась на данных, предоставленных некой компанией X-Mode. Увидев эту визуализацию, директор Kaspersky GReAT Костин Райю (Costin Raiu) задумался: откуда в X-Mode взяли эти данные?
Как выяснилось, эта организация разрабатывает SDK (компонент, который разработчики могут легко встроить в свои приложения) и готова ежемесячно платить использующим ее разработчикам ту или иную сумму в зависимости от количества пользователей приложения. Этот компонент, в свою очередь, собирает информацию о местоположении и некоторые другие данные (в частности, показания датчиков движения смартфона) и отправляет их на серверы X-Mode. Впоследствии компания продает эти данные всем желающим.
В X-Mode утверждают, что, во-первых, данные продаются в обезличенном виде, а во-вторых, что SDK почти не влияет на время работы смартфона от одной зарядки и тратит от 1 до 3% заряда, так что пользователи даже не заметят его и не испытают каких-либо неудобств. В компании также считают, что заниматься подобным сбором сведений «вполне законно» и что их SDK полностью соответствует Общему регламенту по защите данных (GDPR).
Сколько существует подобных приложений для отслеживания
Райю задался вопросом, а не отслеживают ли и его смартфон аналогичным образом? Он пришел к выводу, что самый простой способ это выяснить — определить адреса командных серверов, которые использует SDK, и затем начать анализировать исходящий трафик с устройства. Если какое-то приложение на смартфоне связывается хотя бы с одним из таких узлов, значит, слежка действительно ведется. Соответственно, для начала Райю нужно было узнать адреса этих серверов. Проведенное расследование легло в основу его выступления на конференции SAS@Home.
Потратив некоторое время на реверс-инжиниринг, расшифровку данных и прочие процедуры, Райю определил адреса командных серверов и написал программу, которая сообщает, если какое-либо приложение пытается к ним обратиться. По сути, он выяснил, что если в приложении есть определенная строка программного кода, то оно использует «следящий» SDK.
Райю обнаружил более 240 приложений со встроенной SDK. Суммарно число их установок перевалило за 500 миллионов. Если предположить, что каждый пользователь загрузил такое приложение единожды, то можно примерно оценить, что у каждого 16-го жителя планеты на устройстве есть приложение, следящее за его перемещениями. Выражаясь иначе, вероятность того, что лично у вас на смартфоне есть одно из этих приложений — 1/16.
Более того, X-Mode — лишь одна из десятков компаний в данной отрасли. Есть другие, и у них уже свои SDK.
Ничто не мешает разработчикам использовать сразу несколько подобных SDK. Например, когда Райю изучал одно из приложений, в которое автор встроил X-Mode SDK, он обнаружил еще пять подобных компонентов других компаний, которые тоже собирали данные о местоположении. Очевидно, что разработчик пытался выжать из приложения максимум прибыли.
Что самое интересное, вышеупомянутое приложение было платным! Так что даже если вы раскошелились на приложение, к сожалению, это еще не значит, что разработчики не попытаются заработать еще больше, продавая ваши данные.
Что можно сделать для борьбы со слежкой
Проблема с подобными SDK для отслеживания в том, что при загрузке и установке приложения вы просто не знаете, содержит оно такие компоненты или нет. Приложение может на вполне законных основаниях запрашивать разрешение на доступ к информации о местоположении, ведь без него многие функции не будут корректно работать. Но вместе с тем оно сможет продавать эти данные, и пользователю будет непросто понять, делает оно это или нет.
Чтобы помочь технически подкованным пользователям снизить вероятность слежки, Райю составил список серверов, которыми пользуются SDK для отслеживания. Он доступен на личной странице эксперта на GitHub. Компьютер RaspberryPi с установленными программами Pi-hole и WireGuard поможет проанализировать трафик в вашей домашней сети и выявить приложения, которые пытаются связаться с командными серверами любопытных SDK.
Однако для большинства пользователей это очень сложный путь. К счастью, есть более простые способы снизить риск слежки со стороны таких приложений и служб — ограничить права, которые они имеют на вашем устройстве.
Шпион из смартфона: топ-10 приложений, собирающих ваши данные
Рынок персональных данных приносит технокомпаниям миллиарды долларов. Основной товар на нем — пользователи, которые передают информацию о себе десяткам сайтов и сервисов и даже не догадываются об этом. The Bell изучил топ-100 российского Google Play Store, чтобы понять, какие приложения собирают больше всего пользовательских данных.
Как мы считали
Для подсчета мы использовали топ-100 приложений в российском Google Play Store на сентябрь 2019 года по версии сайта AppBrain. Для того чтобы определить, какие данные и на какие площадки приложения передают информацию, мы использовали сервис App Census . Информацию о трекерах и запрашиваемых приложением разрешениях мы получили на платформе аудита приватности приложений Exodus .
Полную таблицу со всеми приложениям топ-100 можно найти по этой ссылке.
Кто передает больше всего данных
Как узнал The Bell, из 100 самых популярных бесплатных приложений в российском Google Play Store только 11 не делятся пользовательскими данными со сторонними площадками:
- «ВТБ-Онлайн»
- Yandex.Maps Widget
- Navitel Navigator
- игра «Логика и дедукция»
- «Полиглот»
- Russain Language — GO Keyboard
- игра «Танчики 1990»
- stopwatch
- Ebookdroid reader
- Anti-virus Dr.Web Light
- Soviet Military Maps
Больше всего адресатов (каналов) передачи данных, по подсчетам The Bell, оказалось у приложения «Читай бесплатно» от Litres. Программа для чтения книг отправляет данные по 31 каналу. Не все приложения шифруют передаваемую информацию. Тот же «Читай бесплатно» отправляет по незашифрованным каналам Android Ad ID, который позволяет связать конкретное устройство с пользователем во всей рекламной системе Google.
Из топ-100 12 приложений передают данные в незашифрованном виде — на собственные IP-адреса или третьим лицам:
- игра «100 к 1»
- peers.tv
- Rutube
- «Читай бесплатно» от Litres
- НТВ
- «Первый канал»
- Нарды
- Poker Game: World Poker Club
- GPS Navigator CityGuide
- Gismeteo Lite
- игра Voyage 2: Russian Roads
- Player Dream
Значительная часть из этого списка — приложения телевизионных каналов, отправляющие данные медиаизмерителю Mediascope (ранее TNS Russia — это название сохранилось в трекерах).
Лидером по количеству незашифрованных потоков пользовательских данных оказалось приложение «Первого канала». Оно передает Mediascope не только данные Android Ad ID, но и уникальный MAC-адрес устройства. Кроме того, приложение отправляет незашифрованную информацию рекламной сети AdFox.
Также оказалось, что приложения «Первого канала», телеканала «Россия» и НТВ при передаче данных в Mediascope используют протокол HTTP, а не более безопасный HTTPS.
Об этом говорят. «В случае если данные используют незашифрованный канал — это недоработка разработчиков, и данные могут быть доступны третьим лицам», — предупреждает аналитик Digital Security Максим Ромодин. Это значит, что при отправке данных провайдер или сторонние лица могут «влезть» в канал передачи информации и получить доступ к вашим данным — местонахождению или сетевому MAC-адресу устройства. Это позволит, например, маркетологам установить, каким устройством вы пользуетесь (дорогим или дешевым), а правоохранителям — отследить конкретное устройство в любой доступной им публичной сети.
«Безопасность данных пользователей – один из наших основных приоритетов, и мы регулярно проверяем корректность работы приложений, — заверил The Bell представитель ГК «Литрес». — В анализе данных от AppCensus использовалась версия приложения «Читай бесплатно» 3.3, но актуальная версия нашего приложения использует SDK Appodeal 2.5.7, и все данные в ней шифруются». В комментарии компании также говорится, что она рекомедует пользователям своевременно обновлять приложение: «это гарантирует корректность и безопасность его работы».
Лидеры по числу трекеров
Другая серьезная угроза безопасности — наличие рекламных трекеров, которые помогают Google и Facebook распознавать аккаунт пользователя в любых приложениях и показывать ему релевантную рекламу. Из ста самых популярных бесплатных приложений в российском Play Store только три не используют трекеры вообще. Это приложение для чтения книг Ebookdroid reader, антивирус Anti-virus Dr.Web Light и навигатор GPS Navigator CityGuide. По два трекера используют приложения «Яндекс.Метро» и «Qiwi Кошелек».
Лидером по количеству трекеров оказалось приложение для коротких видеороликов Coub. По данным сервиса Exodus, в коде приложения найдены 30 различных трекеров. Большая часть из них принадлежит Google и Facebook и собирает различную информацию о пользователе — от местоположения до просмотренной рекламы. Чуть меньше, 27 трекеров, у вышеупомянутого лидера по передаче данных — «Читай бесплатно» от Litres.
Самыми распространенными, что неудивительно, оказались трекеры рекламных сетей Google (41% всех приложений в Google Play), Facebook (13%) и Yandex (1%). Также часто разработчики прибегают к услугам трекера Flurry от Yahoo (присутствует в 12% приложений) и myTarget (2%).
Об этом говорят. Не все трекеры следят за пользователем ради заработка на рекламе. «Рекламные трекеры — это сопутствующий заработку на мобильной рекламе сервис, трекеры вроде Crashlytics — технические и помогают разработчикам в отладке приложений», — объясняет директор АНО «Информационная культура» Иван Бегтин. Также есть трекеры, которые отслеживают поведение пользователей, самый распространенный из них — Google Analytics.
«Передаваемые сервисами аналитики данные в большинстве имеют обезличенный вид и используются для анализа больших данных», — успокаивает Максим Ромодин из Digital Security. Аналитик напоминает, что Google предъявляет требования ко всем приложениям. Согласно политике компании, приложение должно запрашивать только необходимые для работы разрешения. Кроме того, данные, собранные приложением, не могут передаваться третьим лицам в рекламных целях или использоваться для шпионажа или слежки. В случае несоблюдения требований этой программы Google уведомит разработчика о возможном удалении приложения из магазина. При этом Google даже предлагает награду, если пользователи смогут уличить разработчиков в нарушении правил.
Что мы разрешаем приложениям
В большинстве случаев пользователь сам разрешает приложению доступ к своим данным. При установке приложения из Play Store и его первом запуске программа запрашивает у пользователя доступ к тем или иным функциям устройства. Например, практически все приложения в топ-100 просят доступ к чтению и записи данных на карте памяти. «Это необходимо для хранения кэша на карте памяти и офлайн-копий страниц», — объяснили необходимость доступа к карте памяти для «Яндекс.Браузера» в компании. Другие приложения могут хранить сохранения игр, кэш карт и иную информацию во внешней памяти устройства.
Гораздо сложнее дела обстоят с доступом к камере и аудио. По расчетам The Bell, из топ-100 российского Google Play Store доступ к ним запрашивают больше трети приложений.
- По данным производителя ПО Symantec, 46% всех приложений на Android запрашивают доступ к камере смартфона, еще 25% хотят записывать аудио без уведомления пользователя (по другим данным, таких приложений может быть больше половины, а часть приложений может даже не запрашивать разрешения на отправку аудио на сторонние сервера или делать это, несмотря на прямой запрет).
- Для сравнения: доля приложений на iOS с доступом к камере, согласно тому же исследованию Symantec, составляет 25%, с возможностью записывать аудио — 9%. Кроме того, приложения для смартфонов Apple не могут получить доступ к истории звонков и СМС на устройстве.
Об этом говорят. «Разработчики иногда целенаправленно добавляют в свои приложения редко востребованные функции, позволяющие запросить дополнительные права на пользовательском устройстве», — рассказывает Бегтин из АНО «Информационная культура». Он уточняет, что большое количество информации позволяет уточнить профиль пользователя как покупателя и получателя рекламы.
Но не вся информация заведомо запрашивается исключительно в коммерческих целях. Например, фитнес-приложения отслеживают геолокацию для корректной работы, а доступ к аудио позволяет работать голосовым ассистентам — Google Assistant и «Алисе» от «Яндекса».
Кто запрашивает больше всех разрешений
Наиболее жадным до пользовательских данных из топ-100 Google Play Store оказалось приложение социальной сети VK. При установке оно запрашивает 60 различных разрешений. Российским пользователям давно известно, что VK от Mail.ru Group отслеживает каждый шаг пользователя, вплоть до его точного местоположения с погрешностью до полуметра.
Среди разрешений для VK сервис Exodus считает опасными:
- доступ к местоположению (точному и примерному);
- к камере;
- аккаунтам на устройстве;
- истории звонков;
- сообщениям;
- данным о смартфоне (модель, заряд батареи, количество свободной оперативной памяти);
- доступ к микрофону;
- доступ приложения к системным настройкам;
- приоритетный режим показа уведомлений.
Чуть меньше разрешений запрашивают приложения «Сбербанк.Онлайн» и мобильный клиент Bitrix24 — по 49 и 48 запросов соответственно. Оба имеют доступ к местоположению пользователя, камере, записи аудио и модификации настроек. bitrix24 к тому же может самостоятельно (без уведомления пользователя) редактировать контакты и календарь.
Об этом говорят. Даже те разрешения, которые Exodus считает опасными, приложениям приходится запрашивать — во-первых, для того чтобы корректно работал весь их функционал, во-вторых, чтобы пройти модерацию на платформе Android, объясняет представитель «Яндекса» — и приводит примеры:
- Местоположение: сайты могут запрашивать у пользователя его местоположение через HTML5 API. Разрешение нужно, чтобы наши приложения могли передавать местоположение пользователя с его позволения.
- Доступ к камере: пользователь может загружать изображения и снимки с камеры на сайты.
- Аккаунты: мы даем возможность авторизоваться в одном приложении «Яндекса» и использовать аккаунт в остальных, для этого необходимо это разрешение.
- Чтение карты памяти и запись на карту памяти: необходимо для хранения кэша на карте памяти и офлайн-копий страниц.
- Запись аудио: необходимо для работы голосового помощника «Алиса».
Цена данных
Проблема сохранения пользовательских данных — одна из самых важных на IT-рынке. Facebook и Google зарабатывают миллиарды долларов на рекламе, которую показывают миллионам людей по всему миру. Чтобы точнее показывать объявления, интернет-гиганты используют данные пользователей. Эти же данные они передают другим компаниям, чтобы они могли лучше таргетировать свои предложения. В то же время Apple отказалась от продажи данных пользователей, чтобы не подвергать их опасности, по сути, отрезав рекламодателям доступ к данным своих пользователей.
После скандала с Cambridge Analytica Facebook за короткое время потерял $6 млрд рыночной капитализации. Несмотря на это, компания продолжает собирать данные и продавать их третьим лицам. По примерным подсчетам, только Facebook может зарабатывать на продаже данных до $85 млн в год. По оценкам Financial Times, данные одного пользователя могут стоить от 10 центов до $2 в зависимости от социального статуса, возраста и других критериев.
Провести такой же подсчет для Google очень сложно. Если в Facebook пользователь сам заполняет свой профиль и лайкает интересные страницы, то Google собирает данные отовсюду: от поисковых запросов и выбранных результатов поиска до истории браузера и закладок. Именно поэтому конгресс США предлагает технологическим компаниям раскрывать стоимость проданных третьим лицам данных.
Российские законодатели пока не взялись всерьез за этот вопрос — все, что они предлагают, это хранение данных на территории России и прямое разрешение на использование персональных данных. Но доступ к пользовательской информации в какой-то момент непременно встанет и для российского рынка как одного из самых доходных и быстрорастущих.