Кто и как за нами следит

01.10.2019 23:26

The bell узнал, какие из 100 самых популярных приложений в России собирают больше данных пользователей

Утечки чувствительных данных происходят ежедневно — только сегодня стало известно о провисевших в открытом доступе год налоговых данных 20 млн россиян. Но настоящий миллиардный рынок — не краденые базы, а данные, которые технокомпании получают от пользователей и продают третьим лицам совершенно легально, о чем те могут даже и не догадываться. The Bell изучил топ-100 российского Google Play Store, чтобы понять, какие приложения собирают больше всего пользовательских данных.

Среди 100 самых популярных бесплатных приложений в российском Google Play Store удалось обнаружить 11, которые вообще не делятся пользовательскими данными со сторонними площадками. Их набор довольно случаен — от банковского приложения «ВТБ-онлайн» и навигатора Navitel до игр «Логика и дедукция» и «Танчики 1990». Приложений, которыми большинство людей пользовались бы каждый день (за исключением разве что Navitel) в этом списке нет.

Больше всего адресатов (каналов) передачи данных — 31, по подсчетам The Bell, оказалось у приложения «Читай бесплатно». Среди приложений, вошедших в топ-10, есть также приложения HeadHunter (30 потоков), Yandex и Auto.ru (по 21), ivi (18), а также «Первого канала» (15, среди них 6 незашифрованных). Всего данные в незашифрованном виде отправляют на свои серверы или серверы партнеров 12 приложений из топ-100. Большая часть — приложения телеканалов, отправляющие данные медиаизмерителю Mediascope (причем в основном через менее безопасный протокол HTTP, а не HTTPS).

Если при передаче данных используется незашифрованный канал, это недоработка — при отправке данных провайдер или сторонние лица могут «влезть» в канал передачи информации и получить доступ к данным пользователей, например, местонахождению или сетевому MAC-адресу устройства. Это позволит, например, маркетологам установить, каким устройством вы пользуетесь (дорогим или дешевым), а правоохранительным органам — отследить конкретное устройство в любой доступной им публичной сети.

97 из топ-100 приложений используют рекламные трекеры, которые помогают Google, Facebook и другим сервисам распознавать аккаунт пользователя в любых приложениях и показывать ему релевантную рекламу. Из ста самых популярных бесплатных приложений в российском Play Store вообще не используют трекеры только три. Лидер по их количеству (30) — приложение для коротких видеороликов Coub. Большая часть информации, которую они передают, идет в обезличенном виде и используется для анализа больших данных.

Доступ к данным устройства (например, фотографиям с камеры) в большинстве случаев пользователь разрешает приложению сам. В запросах на разрешения, которые мало кто читает, могут таиться неприятные условия. Например, 25% приложений из топ-100 предлагают разрешить им аудиозапись без уведомления пользователя, а часть — может даже не запрашивать разрешения на отправку аудио на сторонние сервера или делать это вопреки прямому запрету.

Полный топ-100 приложений с указанием данных о слежке можно посмотреть здесь.

Что мне с этого?

Американцы скоро узнают ответ на вопрос, сколько Facebook и Google зарабатывают на их персональных данных — отчитываться об этом от них требует конгресс, для которого после скандала с Cambridge Analytica интернет-платформы стали второй самой желанной целью после Трампа. Российские законодатели пока не взялись всерьез за этот вопрос — все, что они предлагают, это хранение данных на территории России и прямое разрешение на использование персональных данных.