Програми з AppStore та Google Play надсилають дані українців на сервери Яндексу в Росії

Програми з онлайн-магазинів AppStore і Google Play викрили в передачі даних на сервери компанії "Яндекс" в Росії. Про це пише видання Finantial Times, посилаючись на дослідження експертів з кібербезпеки.

"Яндекс" випустила програмне забезпечення App Metrica для збору статистики про використання мобільних програм у вигляді так званого набору для розробки софту (software development kit). SDK є готовими "будівельними блоками", які можна вбудовувати замість створення з нуля. Наприклад, Google Maps SDK дає змогу вбудовувати функції картографічного сервісу. Часто такі інструменти розповсюджують на безоплатній основі в обмін на доступ до даних користувачів, що допомагають "націлювати" рекламу.

Дослідник Зак Едвардс під час аудиту додатків для некомерційної організації Me2B Alliance виявив, що App Metrica вписує в додатки на iOS та Android код, що дозволяє надсилати "Яндексу" інформацію про мільйони користувачів. Чотири незалежні експерти на прохання Financial Times проаналізували SDK і дійшли висновку, що російська влада теоретично може використовувати дані для стеження за людьми через смартфони.

"AppMetrica SDK стверджує, що надає відповідні послуги, водночас відправляючи до Москви дуже чутливі метадані, які можна використовувати для відстеження людей на вебсайтах та в додатках. Для людей, які працюють на висококласних посадах, використання програм, що відправляють ці дані в Москву, небезпечне та потенційно може призвести до атак на домашні мережі або інших форм цифрового спостереження”.

"Яндекс" визнала, що App Metrica збирає інформацію про пристрій, мережу та IP-адресу, яка зберігається на серверах у Росії та Фінляндії. За її словами, дані неперсоналізовані та обмежені, теоретично використовувати їх для ідентифікації людини можливо, але "на практиці вкрай складно". Крім того, дані збирають лише за згодою користувача, яку мають вимагати розробники.

Як пояснив Патрік Джексон, головний технічний директор розробника інструменту цифрової конфіденційності Disconnect, головна загроза з боку SDK полягає в тому, що самі вони не вимагають дозволу, але використовують дозволи, які користувач надає програмі. Тобто власник смартфона часто не знає, хто й навіщо збирає інформацію про нього, і куди потім її відправляє.

Представники компанії також стверджують, що самі не шпигують за людьми, а також відхиляють будь-які запити з боку уряду, які "не відповідають усім відповідним процедурним та юридичним вимогам". Водночас колишня головна інженерка-програмістка у відділі глобальної безпеки Apple Шер Скарлетт стверджує, що російське законодавство зобов'язує "Яндекс" надавати інформацію про користувачів на запит державних органів.

Рон Вайден, голова фінансового комітету Сенату США, розкритикував Google та Apple за недостатньо надійний захист смартфонів від програмного забезпечення "Яндекса", яке використовують в 52 тисячах додатків на сотнях мільйонів смартфонів:

"Ці програми викрадають особисті, конфіденційні дані з додатків на вашому телефоні ... Apple і Google стверджують, що їх монопольний контроль над своїми магазинами додатків необхідний для забезпечення безпеки споживачів. Щодня, коли додатки, створені на основі російського SDK "Яндекса", залишаються в цих магазинах, є ще одним доказом того, що безпека споживачів, про яку вони заявляють, є ілюзією".

За даними аналітичної групи Appfigures, додатки з SDK AppMetrica встановили сотні мільйонів разів — це ігри, месенджери, інструменти для обміну геолокацією та створення приватних віртуальних мереж. Іронія полягає в тому, що багато з них призначені для анонімності та захисту від стеження, наприклад, сім VPN-сервісів створені спеціально для української аудиторії, але насправді вони роблять користувачів ще вразливішими.

Деякі розробники вирішили видалити AppMetrica зі своїх програм після вторгнення Росії в Україну, серед них ігрова студія Gismart. Браузер Opera також заявила про відключення SDK з 15 лютого для подальшого вилучення. Проте з початку повномасштабної війни близько 2 тисяч програм додали AppMetrica, зокрема кілька продуктів, призначених для відстеження українських користувачів.

Наприклад, Call Ukraine — це "безплатний месенджер для українців", запущений у Google Play Store 10 березня із синьо-жовтим прапором на логотипі. Після встановлення він може зчитувати контакти та визначати особистість користувача. Шер Скарлетт сказала, що її турбує той факт, що тільки за останні 20 днів AppMetrica додав 21 VPN-додаток.

У Apple заявили: AppMetrica не може отримати "прицільний" доступ до даних користувача, оскільки SDK вимагає згоди. Google визнала, що потрібно попрацювати над прозорим інформуванням користувачів про те, які SDK і для чого використовують в додатках, а також пообіцяла провести власне розслідування стосовно інструменту "Яндексу".

Раніше стандартні програми Android викрили у шпигунстві за 1 млрд користувачів. Як з'ясувалося, встановлені на мільйонах смартфонів Google Dialer і Google Messages одночасно з дзвінками та надсиланням повідомлень передають зашифровані пакети даних, що дозволяють визначити особи співрозмовників.