АНО «Информационная культура» исследовала приватность 1014 мобильных приложений в RuStore. Организация изучила, какие разрешения в них запрашиваются при передаче данных третьим лицам (через встроенные трекеры) и как эти разрешения могут использоваться для сбора информации.
«Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами», — прокомментировал выбор предмета исследования директор «Информационной культуры» и один из авторов доклада Иван Бегтин.
Анализ показал, что, несмотря на статус официального российского магазина приложений, большая часть опубликованных в RuStore сервисов передаёт данные компаниям в недружественных (по мнению Правительства РФ) странах. Кроме того, данная альтернатива снижает возможности пользователей контролировать приватность и осознанно выбирать магазин приложений: в отличие от Google Play, в RuStore для разработчиков нет обязательств по соблюдению приватности и практике раскрытия кода.
«На сегодняшний день требования к приватности не закреплены ни в формальных требованиях к магазину приложений RuStore, ни в форме добровольной декларации от руководства оператора магазина — компании VK», — говорится в исследовании.
Аналитики выяснили, что 820 приложений (87,8%) имеют как минимум один отслеживающий трекер в коде. Для них характерно следующее:
Всего эксперты обнаружили 106 сторонних трекеров (trackers) и 602 уникальных разрешений (permissions) для доступа к данным и функциям устройств. Из 106 трекеров 46 (43,4%) являются рекламными, 18 (17%) используются для профайлинга и 8 — для идентификации пользователей.
Наиболее нагружены трекерами приложения категорий «Игры» и «Развлечения».
На 934 исследованных приложения пришлось 602 уникальных разрешения, из которых 19 относятся к потенциально опасным, т.е. способны повлиять на конфиденциальность пользователя или работу устройства (согласно списку уровней защиты для Android от Google).
Таким образом, основная часть приложения включает трекеры, требующие больше разрешений чем им может быть нужно, сам магазин приложений не имеет стандартов верификации, и даже госприложения включают трекеры, передающие данные в другие юрисдикции, делает вывод Бегтин.
Подробные рекомендации по улучшению ситуации приведены здесь. Так,
- регуляторам следует сформировать стандарт соблюдения приватности для мобильных приложений;
- магазинам приложений — разработать правила по обязательному раскрытию информации о специальных разрешениях, сборе данных и их передаче сторонним лицам;
- заказчикам разработки приложений — включать требования по соблюдению приватности в техзадания;
- всем участникам рынка — развивать каналы обратной связи для граждан, выстраивать практику саморегулирования и проводить исследования о методах сбора данных.
Доклад отправили исследование с рекомендациями в Минцифры России, сейчас ожидается обратная связь, рассказала один из авторов Ксения Орлова. Она также дала рекомендации пользователям:
«Пока компании в проактивном режиме не рассказывают пользователям о том, какую информацию о них и зачем они собирают (хотя ситуация постепенно меняется). Как хранят, в каком виде и кому передают. Пользователям ничего не остается кроме того, как проверять приложения, сайты и сервисы самостоятельно».
Орлова рекомендует список сервисов и проект «Четвёртый сектор», который на днях опубликовал инструмент для защиты приватности пользователей браузеров и мобильных приложений:
1. Exodus Privacy — позволяет проверить приложения на наличие трекеров и разрешений (включая потенциально опасные). Пример.
2. Сервис InAppBrowser для iOS — показывает, какие действия пользователей отслеживаются в собственных браузерах приложений Instagram, Facebook, TikTok и других при переходе из них на внешние веб-сайты. Например, каждый переход по страницам и нажатия, данные ввода всех форм, такие как пароли и адреса и другое.
3. OpenContacts — сервис для хранения мобильных номеров из списка контактов на устройстве. С помощью него можно не задумываясь предоставлять мобильным приложениям доступ к контактам, так как они будут храниться в другом месте.
4. Access Dots — сервис добавляет несколько индикаторов, которые определяют, используют ли приложения микрофон, камеру или GPS-сигнал для отслеживания устройства в данный момент.
Что касается веб-серфинга в целом, то эксперт обращает внимание на следующие сервисы:
5. Cover Your Tracks — показывает, какие данные собирает о вас браузер.
6. Расширение для браузера ToSDR — оценивает безопасность сайта по его политике конфиденциальности. Он сокращает пользовательские соглашения до тезисов и оценивает безопасность по пятибалльной шкале. С помощью расширения может так проверить любой интересующий сайт.
7. Расширение для браузеров Adblock Plus — это блокировщик не только рекламы, но и отслеживающих рекламных трекеров.
«А вот что можно дальше делать с этой информацией — с помощью всех этих сервисов можно значительно сократить информирование сторонних компаний о своих привычках и интересах. Чем-то перестать пользоваться совсем или выбрать наиболее безопасный вариант из возможных. Дело приватности — дело рук самих пользователей :)», — заключила Орлова.
Почему «Роскомсвобода» защищает право на приватность, читайте в наших карточках.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.