Приложения из AppStore и Google Play отправляют данные украинцев на сервера Яндекса в Россию
Правительство РФ может использовать информацию для слежки за пользователями из Украины и других стран, предупредили киберэксперты.
Приложения из онлайн-магазинов AppStore и Google Play уличили в передаче данных на серверы компании "Яндекс" в России. Об этом пишет издание Finantial Times, ссылаясь на исследование экспертов по кибербезопасности.
"Яндекс" выпустила программное обеспечение App Metrica для сбора статистики об использовании мобильных приложений в виде так называемого набора для разработки софта (software development kit). SDK представляет из себя готовые "строительные блоки", которые можно встраивать вместо создания с нуля. Например, Google Maps SDK позволяет встраивать функции картографического сервиса. Часто подобные инструменты распространяются на безоплатной основе в обмен на доступ к данным пользователей, помогающим "нацеливать" рекламу.
Исследователь Зак Эдвардс во время аудита приложений для некоммерческой организации Me2B Alliance обнаружил, что App Metrica внедряет в приложения на iOS и Android код, позволяющий отправлять "Яндексу" информацию о миллионах пользователей. Четыре независимых эксперта по просьбе Financial Times проанализировали SDK и пришли к выводу, что российские власти теоретически могут использовать данные для слежки за людьми через смартфоны.
"AppMetrica SDK утверждает, что предоставляет соответствующие услуги, при этом отправляя в Москву очень чувствительные метаданные, которые можно использовать для отслеживания людей на веб-сайтах и в приложениях. Для людей работающих на высококлассных должностях использование приложений, которые отправляют эти данные в Москву, опасно и потенциально может привести к атакам на домашние сети или другим формам цифрового наблюдения".
"Яндекс" признала, что App Metrica собирает информацию об устройстве, сети и IP-адресе, которая хранится на серверах в России и Финляндии. По ее словам, данные неперсонализированные и ограниченные, в теории использовать их для идентификации человека возможно, но "на практике крайне сложно". Кроме того, сбор данных происходит только с согласия пользователя, которое должны запрашивать разработчики.
Как объяснил Патрик Джексон, главный технический директор разработчика инструмента цифровой конфиденциальности Disconnect, главна угроза со стороны SDK заключается в том, что сами они не запрашивают разрешения, но используют разрешения, которые пользователь предоставляет приложению. Другими словами, владелец смартфона зачастую не знает, кто и зачем собирает информацию о нем, и куда потом ее отправляет.
Представители компании также утверждают, что сами не шпионят за людьми, а также отклоняют любые запросы со стороны правительства, которые "не соответствуют всем соответствующим процедурным и юридическим требованиям". В то же время, бывший главный инженер-программист в отделе по глобальной безопасности Apple Шер Скарлетт утверждает, что российское законодательство обязывает "Яндекс" предоставлять информацию о пользователях по запросу государственных органов.
Рон Уайден, глава финансового комитета Сената США, раскритиковал Google и Apple за недостаточно надеждную защиту смартфонов от программного обеспечения "Яндекса", которое используется в 52 тысячах приложений на сотнях миллионов смартфонов:
"Эти приложения похищают личные, конфиденциальные данные из приложений на вашем телефоне… Apple и Google утверждают, что их монопольный контроль над своими магазинами приложений необходим для обеспечения безопасности потребителей. Каждый день, когда приложения, созданные на основе российского SDK "Яндекса", остаются в этих магазинах, является еще одним доказательством того, что безопасность потребителей, о которой они заявляют, является иллюзией".
По данным аналитической группы Appfigures, приложения с SDK AppMetrica установили сотни миллионов раз — это игры, мессенджеры, инструменты для обмена геолокацией и создания частных виртуальных сетей. Ирония заключается в том, что многие из них предназначены для анонимности и защиты от слежки, к примеру, семь VPN-сервисов созданы специально для украинской аудитории, но на деле они делают юзеров еще более уязвимыми.
Некоторые разработчики решили удалить AppMetrica из своих приложений после вторжения России в Украину, среди них игровая студия Gismart. Браузер Opera также заявила об отключении SDK с 15 февраля для последующего удаления. Однако с начала полномасштабной войны около 2 тысяч приложений добавили AppMetrica, в том числе несколько продуктов, предназначенных для отслеживания украинских пользователей.
Например, Call Ukraine — это "бесплатный мессенджер для украинцев", запущенный в Google Play Store 10 марта с сине-желтым флагом на логотипе. После установки он может считывать контакты и определять личность пользователя. Шер Скарлетт сказала, что ее беспокоит тот факт, что только за послдение 20 дней AppMetrica внедрили 21 VPN-приложение.
В Apple заявили: AppMetrica не может получить "прицельный" доступ к пользовательским данным, поскольку SDK требует согласия. Google признала, что нужно поработать над прозрачным информированием пользователей о том какие SDK и для чего используются в приложениях, а также пообещала провести собственное расследование в отношении инструмента "Яндекса".
Ранее стандартные приложения Android уличили в шпионаже за 1 млрд пользователей. Как выяснилось, предустановленные на миллионах смартфонов Google Dialer и Google Messages одновременно с совершением звонков и отправкой сообщений передают зашифрованный пакеты данных, позволяющие определить личности собеседников.