24 августа 2022

«Инфокультура» исследовала приватность мобильных приложений в RuStore

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Выводы: основная часть приложения включает трекеры, требующие больше разрешений чем им может быть нужно, сам магазин приложений не имеет стандартов верификации, и даже госприложения включают трекеры, передающие данные в другие юрисдикции.

АНО «Информационная культура» исследовала приватность 1014 мобильных приложений в RuStore. Организация изучила, какие разрешения в них запрашиваются при передаче данных третьим лицам (через встроенные трекеры) и как эти разрешения могут использоваться для сбора информации.

«Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами», — прокомментировал выбор предмета исследования директор «Информационной культуры» и один из авторов доклада Иван Бегтин.

Анализ показал, что, несмотря на статус официального российского магазина приложений, большая часть опубликованных в RuStore сервисов передаёт данные компаниям в недружественных (по мнению Правительства РФ) странах. Кроме того, данная альтернатива снижает возможности пользователей контролировать приватность и осознанно выбирать магазин приложений: в отличие от Google Play, в RuStore для разработчиков нет обязательств по соблюдению приватности и практике раскрытия кода.

«На сегодняшний день требования к приватности не закреплены ни в формальных требованиях к магазину приложений RuStore, ни в форме добровольной декларации от руководства оператора магазина — компании VK», — говорится в исследовании.

 

Трекеры

Аналитики выяснили, что 820 приложений (87,8%) имеют как минимум один отслеживающий трекер в коде. Для них характерно следующее:

  1. Чаще всего в них установлены трекеры компании Google (Google Firebase Analytics и Google CrashLytics). Третий по популярности — российский трекер AppMetrica компании «Яндекс» (407 приложений, 49,6%).
  2. Подавляющее большинство приложений (776, 94,6%) имеют встроенные сторонние трекеры, принадлежащие иностранным юрисдикциям, среди которых первые три места занимают США, Россия и Китай.
  3. По количеству «лидируют» трекеры компаний Google (744 приложения, 90,7%), «Яндекс» (407, 49,6%) и Meta ( 204, 24,9%).
  4. Российские трекеры, в основном принадлежащие «Яндекс» и VK, используются в 477 (58%) приложениях. Часто они соседствуют с другими иностранными трекерами, выполняющими аналогичные функции.
  5. В 44 приложениях (5,3%) установлены только российские трекеры.

Всего эксперты обнаружили 106 сторонних трекеров (trackers) и 602 уникальных разрешений (permissions) для доступа к данным и функциям устройств. Из 106 трекеров 46 (43,4%) являются рекламными, 18 (17%) используются для профайлинга и 8 — для идентификации пользователей.

Наиболее нагружены трекерами приложения категорий «Игры» и «Развлечения».

 

Разрешения

На 934 исследованных приложения пришлось 602 уникальных разрешения, из которых 19 относятся к потенциально опасным, т.е. способны повлиять на конфиденциальность пользователя или работу устройства (согласно списку уровней защиты для Android от Google).

  1. Большинство приложений (821, 88%) приложений запрашивает как минимум одно потенциально опасное разрешение.
  2. Только в 176 (18,8%) приложениях нет потенциально опасных разрешений.
  3. Всего в 17 приложениях (1,8%) нет ни одного разрешения к функциям и данным устройства, а также — ни одного установленного трекера. Все они относятся к разным тематическим категориям, что не позволяет определить, приложения какого рода безопаснее.
  4. Из потенциально опасных разрешений в приложениях чаще всего встречаются: доступ на чтение и запись во внешнее хранилище данных, доступ к камере, доступ к точному и приблизительному местоположению, получению информации об устройстве и записи аудио.
  5. Из 29 приложений с 10 и более опасных разрешений» 10 принадлежат компании VK. Больше всего таких разрешений запрашивают приложения «VK Звонки: безлимитное общение» (14), «Одноклассники: социальная сеть» (14) и «ICQ - видеозвонки, чаты» (13).

Таким образом, основная часть приложения включает трекеры, требующие больше разрешений чем им может быть нужно, сам магазин приложений не имеет стандартов верификации, и даже госприложения включают трекеры, передающие данные в другие юрисдикции, делает вывод Бегтин.

 

Подробные рекомендации по улучшению ситуации приведены здесь. Так,

- регуляторам следует сформировать стандарт соблюдения приватности для мобильных приложений;

- магазинам приложений — разработать правила по обязательному раскрытию информации о специальных разрешениях, сборе данных и их передаче сторонним лицам;

- заказчикам разработки приложений — включать требования по соблюдению приватности в техзадания;

- всем участникам рынка — развивать каналы обратной связи для граждан, выстраивать практику саморегулирования и проводить исследования о методах сбора данных.

 

Как защищать приватность самостоятельно

Доклад отправили исследование с рекомендациями в Минцифры России, сейчас ожидается обратная связь, рассказала один из авторов Ксения Орлова. Она также дала рекомендации пользователям:

«Пока компании в проактивном режиме не рассказывают пользователям о том, какую информацию о них и зачем они собирают (хотя ситуация постепенно меняется). Как хранят, в каком виде и кому передают. Пользователям ничего не остается кроме того, как проверять приложения, сайты и сервисы самостоятельно».

Орлова рекомендует список сервисов и проект «Четвёртый сектор», который на днях опубликовал инструмент для защиты приватности пользователей браузеров и мобильных приложений:

1. Exodus Privacy — позволяет проверить приложения на наличие трекеров и разрешений (включая потенциально опасные). Пример.

2. Сервис InAppBrowser для iOS — показывает, какие действия пользователей отслеживаются в собственных браузерах приложений Instagram, Facebook, TikTok и других при переходе из них на внешние веб-сайты. Например, каждый переход по страницам и нажатия, данные ввода всех форм, такие как пароли и адреса и другое.

3. OpenContacts — сервис для хранения мобильных номеров из списка контактов на устройстве. С помощью него можно не задумываясь предоставлять мобильным приложениям доступ к контактам, так как они будут храниться в другом месте.

4. Access Dots — сервис добавляет несколько индикаторов, которые определяют, используют ли приложения микрофон, камеру или GPS-сигнал для отслеживания устройства в данный момент.

Что касается веб-серфинга в целом, то эксперт обращает внимание на следующие сервисы:

5. Cover Your Tracks — показывает, какие данные собирает о вас браузер.

6. Расширение для браузера ToSDR — оценивает безопасность сайта по его политике конфиденциальности. Он сокращает пользовательские соглашения до тезисов и оценивает безопасность по пятибалльной шкале. С помощью расширения может так проверить любой интересующий сайт.

7. Расширение для браузеров Adblock Plus — это блокировщик не только рекламы, но и отслеживающих рекламных трекеров.

«А вот что можно дальше делать с этой информацией — с помощью всех этих сервисов можно значительно сократить информирование сторонних компаний о своих привычках и интересах. Чем-то перестать пользоваться совсем или выбрать наиболее безопасный вариант из возможных. Дело приватности — дело рук самих пользователей :)», — заключила Орлова.

 

Почему «Роскомсвобода» защищает право на приватность, читайте в наших карточках.

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.