Горячая новость: Добыча газа в сёлах

7 из 10 приложений для смартфонов обмениваются вашими данными со сторонними службами

  • 29-12-2020
  • комментариев

Куда уходят все данные? Pixabay

Наши мобильные телефоны могут многое рассказать о нас: где мы живем и работаем; кто наша семья, друзья и знакомые; как (и даже что) мы с ними общаемся; и наши личные привычки. Учитывая всю хранящуюся на них информацию, неудивительно, что пользователи мобильных устройств принимают меры по защите своей конфиденциальности, например используют PIN-коды или коды доступа для разблокировки своих телефонов.

Исследование, которое мы и наши коллеги проводим. выявляет и исследует серьезную угрозу, которую пропускает большинство людей: более 70% приложений для смартфонов передают личные данные сторонним компаниям по отслеживанию, таким как Google Analytics, Facebook Graph API или Crashlytics.

Когда люди устанавливают приложение новое приложение для Android или iOS, оно запрашивает разрешение пользователя перед доступом к личной информации. В целом это положительно. И некоторая информация, которую собирают эти приложения, необходима для их правильной работы: приложение карты было бы не так полезно, если бы оно не могло использовать данные GPS для определения местоположения.

Но однажды Приложение имеет разрешение на сбор этой информации, оно может делиться вашими данными с кем угодно разработчику приложения, позволяя сторонним компаниям отслеживать, где вы находитесь, как быстро вы двигаетесь и что делаете.

Приложение не просто собирает данные для использования на самом телефоне. Приложения для картографирования, например, отправляют ваше местоположение на сервер, запущенный разработчиком приложения, для расчета маршрута от вашего местоположения до желаемого пункта назначения.

Приложение также может отправлять данные в другое место. Как и в случае с веб-сайтами, многие мобильные приложения написаны путем объединения различных функций, предварительно закодированных другими разработчиками и компаниями, в так называемых сторонних библиотеках. Эти библиотеки помогают разработчикам отслеживать взаимодействие с пользователями, подключаться к социальным сетям и зарабатывать деньги, показывая рекламу и другие функции, не создавая их с нуля.

Однако, помимо их ценной помощи, большинство библиотек также собирают конфиденциальные данные и отправить их на свои онлайн-серверы или в другую компанию в целом. Успешные авторы библиотеки могут разработать подробные цифровые профили пользователей. Например, человек может дать одному приложению разрешение знать его местоположение, а другому приложению - доступ к его контактам. Изначально это отдельные разрешения, по одному для каждого приложения. Но если бы оба приложения использовали одну и ту же стороннюю библиотеку и совместно использовали разные части информации, разработчик библиотеки мог бы связать части вместе.

Пользователи никогда не узнают, потому что приложения не обязаны сообщать пользователям, какое программное обеспечение библиотеки, которые они используют. И лишь очень немногие приложения публикуют свою политику конфиденциальности пользователей; если они это сделают, то обычно это длинные юридические документы, которые обычный человек не читает, а тем более понимает.

Наше исследование направлено на то, чтобы выявить, сколько данных потенциально собирается без ведома пользователей, и дать пользователям больший контроль над своими данными. Чтобы получить представление о том, какие данные собираются и передаются со смартфонов людей, мы разработали собственное бесплатное приложение для Android под названием Lumen Privacy Monitor. Он анализирует трафик, отправляемый приложениями, и сообщает, какие приложения и онлайн-сервисы активно собирают личные данные.

Поскольку Lumen обеспечивает прозрачность, пользователь телефона может видеть информацию, которую собирают установленные приложения, в режиме реального времени и с кем они поделитесь этими данными. Мы стараемся показать подробности скрытого поведения приложений в доступной для понимания форме. Речь также идет об исследованиях, поэтому мы спрашиваем пользователей, разрешат ли они нам собирать некоторые данные о том, что Lumen наблюдает за действиями их приложений, но это не включает никаких личных или конфиденциальных данных. Этот уникальный доступ к данным позволяет нам изучать, как мобильные приложения собирают личные данные пользователей и с кем они обмениваются данными в беспрецедентном масштабе.

В частности, Lumen отслеживает, какие приложения работают на устройствах пользователей. , отправляют ли они с телефона конфиденциальные данные, на какие интернет-сайты они отправляют данные, какой сетевой протокол они используют и какие типы личной информации каждое приложение отправляет каждому сайту. Lumen анализирует трафик приложений локально на устройстве и анонимизирует эти данные, прежде чем отправлять их нам для изучения: если Google Maps регистрирует местоположение пользователя по GPS и отправляет этот конкретный адрес на maps.google.com, Lumen сообщает нам: «Карты Google получили Местоположение по GPS и отправил его на maps.google.com »- не там, где на самом деле находится этот человек.

Более 1600 человек, которые использовали Lumen с октября 2015 года, позволили нам проанализировать более 5000 приложений. Мы обнаружили 598 интернет-сайтов, которые могут отслеживать пользователей в рекламных целях, включая социальные сети, такие как Facebook, крупные интернет-компании, такие как Google и Yahoo, а также компании онлайн-маркетинга под зонтиком.lla провайдеров интернет-услуг, таких как Verizon Wireless.

Мы обнаружили, что более 70 процентов изучаемых нами приложений подключены по крайней мере к одному трекеру, а 15 процентов из них подключены к пяти или более трекерам. Каждый четвертый трекер собирал по крайней мере один уникальный идентификатор устройства, такой как номер телефона или его уникальный 15-значный номер IMEI для конкретного устройства. Уникальные идентификаторы имеют решающее значение для онлайн-сервисов отслеживания, поскольку они могут связывать различные типы личных данных, предоставляемых разными приложениями, одному человеку или устройству. Большинство пользователей, даже тех, кто разбирается в вопросах конфиденциальности, не знают об этих скрытых действиях.

Отслеживание пользователей на их мобильных устройствах - лишь часть более серьезной проблемы. Более половины выявленных нами трекеров приложений также отслеживают пользователей через веб-сайты. Благодаря этой методике, называемой отслеживанием «между устройствами», эти службы могут создать гораздо более полный профиль вашего онлайн-образа.

И отдельные сайты отслеживания не обязательно независимы от других. Некоторые из них принадлежат одному и тому же юридическому лицу, а другие могут быть поглощены в ходе будущих слияний. Например, Alphabet, материнская компания Google, владеет несколькими из изученных нами доменов отслеживания, включая Google Analytics, DoubleClick или AdMob, и через них собирает данные из более чем 48 процентов изученных нами приложений.

Наблюдается передача данных между местоположениями пользователей Lumen (слева) и сторонними серверами (справа). Транспортное сообщение часто пересекает международные границы. ICSI

Интернет-личность пользователей не защищена законами их страны. Мы обнаружили, что данные отправляются через национальные границы и часто попадают в страны с сомнительными законами о конфиденциальности. Более 60 процентов подключений к сайтам слежения осуществляется с серверами в США, Великобритании, Франции, Сингапуре, Китае и Южной Корее - шести странах, которые развернули технологии массового наблюдения. Государственные учреждения в этих местах потенциально могут иметь доступ к этим данным, даже если пользователи находятся в странах с более строгими законами о конфиденциальности, таких как Германия, Швейцария или Испания.

Подключение MAC-адреса устройства к физическому адресу (принадлежащему). в ИКСИ) с помощью Wigle. ICSI

Еще более тревожно то, что мы наблюдали трекеры в приложениях, предназначенных для детей. При тестировании 111 детских приложений в нашей лаборатории мы обнаружили, что в 11 из них произошла утечка уникального идентификатора, MAC-адреса маршрутизатора Wi-Fi, к которому они были подключены. Это проблема, потому что в Интернете легко найти физические местоположения, связанные с определенными MAC-адресами. Сбор личной информации о детях, включая их местонахождение, учетные записи и другие уникальные идентификаторы, потенциально нарушает правила Федеральной торговой комиссии, защищающие конфиденциальность детей.

Хотя наши данные включают в себя многие из самых популярных приложений для Android, это мало выборка пользователей и приложений, а значит, скорее всего, небольшой набор всех возможных трекеров. Наши выводы могут быть просто царапинами на поверхности того, что, вероятно, будет гораздо более серьезной проблемой, которая распространяется на регулирующие юрисдикции, устройства и платформы.

Трудно понять, что пользователи могут с этим сделать. Блокировка передачи конфиденциальной информации с телефона может снизить производительность приложения или улучшить взаимодействие с пользователем: приложение может не работать, если не может загружать рекламу. На самом деле блокировка рекламы вредит разработчикам приложений, поскольку лишает их источника дохода для поддержки их работы над приложениями, которые обычно бесплатны для пользователей.

Если бы люди были более склонны платить разработчикам за приложения, это могло бы помочь, хотя это не полное решение. Мы обнаружили, что, хотя платные приложения, как правило, обращаются к меньшему количеству сайтов отслеживания, они все же отслеживают пользователей и подключаются к сторонним службам отслеживания.

Нарсео Валлина-Родригес, доцент-исследователь Института сетей IMDEA, Мадрид , Испания и научный сотрудник в Сетях и безопасности Международного института компьютерных наук при Калифорнийском университете в Беркли и Срикант Сундаресан, научный сотрудник в области компьютерных наук в Принстонском университете. Эта статья изначально была опубликована в The Conversation. Прочтите оригинальную статью.

комментариев

Добавить комментарий