T.me Выводы: основная часть приложения включает трекеры, требующие больше разрешений чем им может быть нужно, сам магазин приложений не имеет стандартов верификации, и даже госприложения включают трекеры, передающие данные в другие юрисдикции.
АНО «Информационная культура» исследовала приватность 1014 мобильных приложений в RuStore. Организация изучила, какие разрешения в них запрашиваются при передаче данных третьим лицам (через встроенные трекеры) и как эти разрешения могут использоваться для сбора информации.
«Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами», — прокомментировал выбор предмета исследования директор «Информационной культуры» и один из авторов доклада Иван Бегтин.
Анализ показал, что, несмотря на статус официального российского магазина приложений, большая часть опубликованных в RuStore сервисов передаёт данные компаниям в недружественных (по мнению Правительства РФ) странах. Кроме того, данная альтернатива снижает возможности пользователей контролировать приватность и осознанно выбирать магазин приложений: в отличие от Google Play, в RuStore для разработчиков нет обязательств по соблюдению приватности и практике раскрытия кода.
«На сегодняшний день требования к приватности не закреплены ни в формальных требованиях к магазину приложений RuStore, ни в форме добровольной декларации от руководства оператора магазина — компании VK», — говорится в исследовании.
Трекеры
Аналитики выяснили, что 820 приложений (87,8%) имеют как минимум один отслеживающий трекер в коде. Для них характерно следующее:
- Чаще всего в них установлены трекеры компании Google (Google Firebase Analytics и Google CrashLytics). Третий по популярности — российский трекер AppMetrica компании «Яндекс» (407 приложений, 49,6%).
- Подавляющее большинство приложений (776, 94,6%) имеют встроенные сторонние трекеры, принадлежащие иностранным юрисдикциям, среди которых первые три места занимают США, Россия и Китай.
- По количеству «лидируют» трекеры компаний Google (744 приложения, 90,7%), «Яндекс» (407, 49,6%) и Meta ( 204, 24,9%).
- Российские трекеры, в основном принадлежащие «Яндекс» и VK, используются в 477 (58%) приложениях. Часто они соседствуют с другими иностранными трекерами, выполняющими аналогичные функции.
- В 44 приложениях (5,3%) установлены только российские трекеры.
Всего эксперты обнаружили 106 сторонних трекеров (trackers) и 602 уникальных разрешений (permissions) для доступа к данным и функциям устройств. Из 106 трекеров 46 (43,4%) являются рекламными, 18 (17%) используются для профайлинга и 8 — для идентификации пользователей.
Наиболее нагружены трекерами приложения категорий «Игры» и «Развлечения».
Разрешения
На 934 исследованных приложения пришлось 602 уникальных разрешения, из которых 19 относятся к потенциально опасным, т.е. способны повлиять на конфиденциальность пользователя или работу устройства (согласно списку уровней защиты для Android от Google).
- Большинство приложений (821, 88%) приложений запрашивает как минимум одно потенциально опасное разрешение.
- Только в 176 (18,8%) приложениях нет потенциально опасных разрешений.
- Всего в 17 приложениях (1,8%) нет ни одного разрешения к функциям и данным устройства, а также — ни одного установленного трекера. Все они относятся к разным тематическим категориям, что не позволяет определить, приложения какого рода безопаснее.
- Из потенциально опасных разрешений в приложениях чаще всего встречаются: доступ на чтение и запись во внешнее хранилище данных, доступ к камере, доступ к точному и приблизительному местоположению, получению информации об устройстве и записи аудио.
- Из 29 приложений с 10 и более опасных разрешений» 10 принадлежат компании VK. Больше всего таких разрешений запрашивают приложения «VK Звонки: безлимитное общение» (14), «Одноклассники: социальная сеть» (14) и «ICQ — видеозвонки, чаты» (13).
Таким образом, основная часть приложения включает трекеры, требующие больше разрешений чем им может быть нужно, сам магазин приложений не имеет стандартов верификации, и даже госприложения включают трекеры, передающие данные в другие юрисдикции, делает вывод Бегтин.
Подробные рекомендации по улучшению ситуации приведены здесь. Так,
— регуляторам следует сформировать стандарт соблюдения приватности для мобильных приложений;
— магазинам приложений — разработать правила по обязательному раскрытию информации о специальных разрешениях, сборе данных и их передаче сторонним лицам;
— заказчикам разработки приложений — включать требования по соблюдению приватности в техзадания;
— всем участникам рынка — развивать каналы обратной связи для граждан, выстраивать практику саморегулирования и проводить исследования о методах сбора данных.
Как защищать приватность самостоятельно
Доклад отправили исследование с рекомендациями в Минцифры России, сейчас ожидается обратная связь, рассказала один из авторов Ксения Орлова. Она также дала рекомендации пользователям:
«Пока компании в проактивном режиме не рассказывают пользователям о том, какую информацию о них и зачем они собирают (хотя ситуация постепенно меняется). Как хранят, в каком виде и кому передают. Пользователям ничего не остается кроме того, как проверять приложения, сайты и сервисы самостоятельно».
Орлова рекомендует список сервисов и проект «Четвёртый сектор», который на днях опубликовал инструмент для защиты приватности пользователей браузеров и мобильных приложений:
1. Exodus Privacy — позволяет проверить приложения на наличие трекеров и разрешений (включая потенциально опасные). Пример.
2. Сервис InAppBrowser для iOS — показывает, какие действия пользователей отслеживаются в собственных браузерах приложений Instagram, Facebook, TikTok и других при переходе из них на внешние веб-сайты. Например, каждый переход по страницам и нажатия, данные ввода всех форм, такие как пароли и адреса и другое.
3. OpenContacts — сервис для хранения мобильных номеров из списка контактов на устройстве. С помощью него можно не задумываясь предоставлять мобильным приложениям доступ к контактам, так как они будут храниться в другом месте.
4. Access Dots — сервис добавляет несколько индикаторов, которые определяют, используют ли приложения микрофон, камеру или GPS-сигнал для отслеживания устройства в данный момент.
Что касается веб-серфинга в целом, то эксперт обращает внимание на следующие сервисы:
5. Cover Your Tracks — показывает, какие данные собирает о вас браузер.
6. Расширение для браузера ToSDR — оценивает безопасность сайта по его политике конфиденциальности. Он сокращает пользовательские соглашения до тезисов и оценивает безопасность по пятибалльной шкале. С помощью расширения может так проверить любой интересующий сайт.
7. Расширение для браузеров Adblock Plus — это блокировщик не только рекламы, но и отслеживающих рекламных трекеров.
«А вот что можно дальше делать с этой информацией — с помощью всех этих сервисов можно значительно сократить информирование сторонних компаний о своих привычках и интересах. Чем-то перестать пользоваться совсем или выбрать наиболее безопасный вариант из возможных. Дело приватности — дело рук самих пользователей :)», — заключила Орлова.