Как скрытый код помогает приложениям шпионить за вами

Ваш телефон — это идеальный инструмент для различных лиц, собирающих ваши данные, например, для показа рекламы на основе информации о вас; приводим сокращённый перевод-объяснение статьи в Recode (Vox).  

В первые дни пандемии коронавируса анимированная карта компании Tectonix стала вирусной. Она показывала, когда отдыхающие покидают пляж во Флориде с весенних каникул: серия крошечных оранжевых точек, собравшихся на пляже в начале марта, рассеялась в течение следующих двух недель.

Но была еще одна история, которую большинство из нас не может видеть: трекеры, спрятанные в приложениях для смартфонов, являются источником невероятно большого количества весьма конкретных данных о нас, отправляемых компаниям, о которых может быть, вы даже никогда не слышали. Это происходит уже много лет и является неотъемлемой частью экономики мобильных приложений. Наверное, должна была случиться пандемия COVID-19, чтобы продемонстрировать, на что способны эти компании.

Ваш телефон — это идеальный инструмент для рекламодателей, собирающих и показывающих вам рекламу на основе данных о вас. Обычно это делается с помощью наборов для разработки программного обеспечения или SDK, предоставляемых разработчикам приложений бесплатно в обмен на получаемую информацию или рекламу, которую они могут продать через них. Когда вы включаете службы определения местоположения в приложении о погоде в определённом месте, вы, сами того не зная, можете предоставить данные о геолокации ещё кому-то.

Недавно журнал Wall Street Journal писал, что данные о местоположении продаются не только маркетологам или брокерам данных, но и правоохранительным органам, которые используют их для поимки нелегальных мигрантов. Ранее компания по обработке данных Mobilewalla хвалилась своей способностью отслеживать мобильные телефоны протестующих, и, несмотря на то что такие данные якобы были обезличены, она утверждала, что может идентифицировать возраст, пол и расу протестующих.

И пока большинство, если не все, приложений на наших телефонах применяют несколько SDK, пользователи этих приложений редко понимают, что SDK собой представляют или как их можно использовать для сбора данных и обеспечения мощной экономики мобильных приложений.

Вот как все это работает.

.

Что такое SDK и как он отслеживает меня?

.

SDK (Software Development Kit) сам по себе не является трекером, но это средство, с помощью которого происходит отслеживание через мобильные приложения. Проще говоря, SDK — это пакет инструментов, которые позволяют приложениям функционировать. Apple и Android предлагают SDK для операционных систем, чтобы разработчики могли создавать свои приложения, а третьи стороны предлагают SDK, которые позволяют разработчикам добавлять определенные функции в эти приложения, быстро и с минимальными усилиями.

Если, допустим, разработчик хочет, чтобы пользователи могли войти в приложение с помощью своих учётных записей Facebook, они используют Facebook Login SDK. Без SDK разработчикам пришлось бы создавать эти вещи с нуля, что отнимает много времени и, возможно, денег. SDK помимо этого могут помочь приложениям взаимодействовать с третьими сторонами через так называемый интерфейс прикладного программирования или API. Тот же Facebook Login SDK помогает разработчику реализовать функцию авторизации в своём приложении, в то время как API в это время позволяет приложению и Facebook взаимодействовать друг с другом.

Иногда SDK собирают и отправляют данные обратно тем, кто предоставляют SDK. Это может не быть частью функционала приложения. Несколько месяцев назад мобильное приложение Zoom для iOS было поймано на отправке дополнительных данных в Facebook через свой SDK, что, по словам Zoom, не было преднамеренным. Многие другие приложения делают то же самое.

Вот тут-то и начинается отслеживание. Отправленные третьей стороне данные могут быть использованы для создания профиля пользователя, который затем рекламодатели могут применять при  таргетинге рекламы.

Скорее всего, вы даже не знаете, какие данные передаёт ваше устройство, как и кем они используются. Информация о местоположении наиболее привлекательна, но есть много других способов отслеживать вас для дальнейшего таргетинга. Компании хотят разместить свои SDK в наибольшем количестве приложений, чтобы собрать как можно больше информации о максимальном числе людей. Даже разработчики могут не знать (или не заботиться) о том, когда и как происходит вторжение в частную жизнь их пользователей.

Бывали случаи, когда SDK намеренно захватывали гораздо больше данных, чем должны, возможно, без ведома разработчиков и, конечно же, без ведома пользователя. Эксперты рекомендуют разработчикам проводить аудит конфиденциальности своих приложений, чтобы избежать этого. Но не всегда даже крупные компании вроде Zoom хотят выделять на это ресурсы.

.

Экосистема мобильных приложений

.

Отслеживание с помощью SDK прочно укоренилось в экосистеме приложений. В этом смысле он похож на интернет. Практически все, что мы делаем в интернете, отслеживается и монетизируется с самого начала. Поскольку приложения находятся на устройстве, а мы используем много приложений и носим устройство с ними весь день, они могут собирать тонны информации о нас.

Большинство компаний, производящих SDK, скажут, что данные, которые они собирают, не являются персональными (обычно это просто означает, что они прикреплены к идентификатору устройства, а не к идентификатору владельца устройства). Они также скажут, что клиенты должны дать согласие на сбор, а политика конфиденциальности информирует пользователей о том, как используются их данные. Но эксперты по конфиденциальности говорят, что обезличенные данные часто могут быть повторно идентифицированы и никогда не являются по-настоящему анонимными, особенно когда брокеры данных получают их из такого большого числа источников.

.

Как защититься

.

Apple, Android, Facebook, Google и Twitter предоставляют владельцам устройств возможность ограничить отслеживание для рекламы, так что вы можете отключить эту функцию.

Если приложение запрашивает разрешение на определение местоположения, соглашайтесь на это только тогда, когда это действительно необходимо, и включайте службы геолокации исключительно в момент использования.

Ознакомьтесь с политикой конфиденциальности приложений, которые вы загружаете, чтобы узнать, что они делают с вашими данными, и отказаться от их совместного использования с третьими сторонами, где это возможно. Например, X-Mode и Cuebiq предлагают сделать это напрямую.

Большинство экспертов по конфиденциальности считают, что нельзя по-настоящему прекратить отслеживание на устройствах и в  приложения, но можно, по крайней мере, уменьшить его.

.

Вместо вывода

.

Некоторые исследования показали, что таргетированная реклама незначительно полезней для брендов, чем нетаргетированная, и может даже стоить дороже, если учесть потерю доверия пользователей, сборы рекламной сети и расходы на инструменты, соответствующие закону о конфиденциальности.

Оригинал статьи

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.