Как приложенията тайно ви шпионират с тракери на трети страни

В момента, в който инсталирате приложение, то започва да ви претърсва и досажда за вашите данни. Той изисква разрешения за достъп до вътрешните части на телефона ви, иска ви да регистрирате шепа лична информация - знаете тренировката.

Въпреки това, колкото и пестеливи и бдителни да сте на всяка стъпка, все още има един начин, по който повечето приложения в крайна сметка тайно копаят вашите данни.

Всяко приложение идва пакетирано с набор от това, което технически се нарича Комплекти за разработка на софтуер (SDK). За да ги разберете по-добре, помислете за приложението като за къща от Lego — като всеки блок действа като един ключов модул.

Разработчиците програмират блоковете, които са уникални за техните приложения, като техния дизайн и функции. Но компоненти като реклама и анализи обикновено не се създават вътрешно. За целта те се обръщат към трети страни, които вече предлагат тези услуги. Всичко, което разработчиците трябва да направят, е да ги включат в своите приложения.

SDK са проектирани, както можете да предположите, за ускоряване на разработката и премахване на излишните усилия. Но напоследък тези малки образувания се превърнаха в критични вратички в стремежа ни за поверителност, тъй като компаниите злоупотребяват с тях, за да източват лични потребителски данни, дори когато не би трябвало.

Увреждане на поверителността

Ан Проучване на Оксфордския университет установи, че почти една трета от всички приложения в Play Store са свързани с поне 10 SDK на трети страни и един в пет споделяха потребителски данни с цели 20 SDK. Тази цифра нараства експоненциално при широкомащабни безплатни приложения. Например, съгласно MightySignal, фирма за мобилно разузнаване, Tinder е свързан със зашеметяващите 51 SDK, Airbnb има 41, а ESPN има 40.

Повечето SDK събират данни, които обикновено не смятате, че са от значение. Те проследяват какво докосвате в приложение, области, където прекарвате по-голямата част от времето си, с кои реклами взаимодействате и др. Но тази на пръв поглед безобидна практика може да бъде критично вредна за вашата поверителност, когато погледнете как всички тези данни се вписват в по-широката картина.

Проучването на Оксфорд също разкри, че 88% от изследваните приложения могат да предават данни към компании, които в крайна сметка са собственост на Alphabet (майка на Google), и 43% към услуги, притежавани от Facebook.

Компании като Facebook и Google вече знае доста за вас и чрез докосване до стотици хиляди приложения чрез SDK, те са в състояние да настроят фино вашия цифров профил в тяхната база данни и да ви обслужват насочено реклами. Например, ако очаквате и сте инсталирали приложение, свързано с бременност, Google или Facebook потенциално могат да започнат да ви показват реклами за бебешки продукти въз основа на тази нова информация.

Изкопани лични данни

Разработчиците са склонни да оправдават всички тези SDK, като твърдят, че данните се пазят анонимни и лична информация, като вашия телефонен номер, никога не се споделя.

Но в действителност големите предприятия имат способността да свържат дори най-малката част от данните към вашия цифров профил. Приложението може да не съобщава на SDK вашето име или имейл адрес, но технологичните компании могат да го разберат сами чрез кръстосана обработка със съществуващите си знания.

Приложенията не винаги споделят само анонимни данни със SDK. Изследователят на Kaspersky Lab Роман Унучек намерени 4 милиона Android приложенията изпращаха некриптирани данни за потребителски профили - включително имена, доходи, телефонни номера, имейл адреси и, в един пример, GPS координати - до сървърите на рекламодателите.

Преди няколко седмици, разследване на Electronic Frontier Foundation (EFF). откри, че четири аналитични и маркетингови компании натрупват информация като имена, частни IP адреси, оператори на мобилни мрежи, постоянни идентификатори и данни от сензори от Amazon Приложение за звънене.

Два от подчертаните SDK EFF – Appsflyer и Facebook Graph – могат да бъдат намерени в множество приложения и експертите казват, че е вероятно те да събират подобен набор от данни и от други приложения.

В изявление говорител на Appsflyer каза, че компанията не е брокер на данни и „не изгражда таргетиране профили, не продава данни и не използва по друг начин лични данни на потребители на приложения за свои собствени цели.“

„Някои аналитични компании дават на разработчиците на приложения фин контрол върху това каква информация се доставя, но изглежда като добро предположение, че други приложения ще предоставят подобно количество чувствителни данни, ако включват същите тези библиотеки“, каза Уилям Бъдингтън, автор на разследването на EFF, пред Digital Тенденции.

Куп комплекти за разработване на софтуер (SDK), които понастоящем играят незаменима роля в разработването на приложения, често не посочват ясно как обработват потребителските данни. В някои случаи разработчиците пренебрегват и пропускат да проверят как работи SDK, излагайки на риск сигурността на потребителите.

„За съжаление, повечето разработчици може да не знаят... колко натрапчив може да бъде даден SDK, когато създават собствен софтуер, докато потребителите изобщо не знаят фактът, че когато се изпълнява мобилно приложение, може да има десетки други организации, които потенциално събират чувствителни и лични данни“, каза Нарсео Валина-Родригес, изследовател в отдела за мрежи и сигурност на Международния институт по компютърни науки и член на екипа, който развити Лумен, приложение, което монитори към кои SDK предава данни вашият телефон.

Ключовата информация е заровена

Друго тясно място, което позволява на SDK да буйства, е, че тяхното съгласие обикновено е заровено дълбоко в политиката за поверителност на приложението и много пъти разработчиците пропускат изрично да подчертаят какво дават потребителите нагоре. Освен това настройките за сигурност на приложението не се прилагат за SDK на трети страни, което не оставя на хората почти никакъв избор.

„Всъщност има доказателства, които показват, че това, което много приложения съобщават за своите политики за поверителност, предлага непълна картина на тяхното действително време на изпълнение и поведение при събиране на данни“, добави Narseo Валина-Родригес.

До Android 10, SDK дори могат да споделят разрешения между две несвързани приложения. Следователно, да кажем, че приложение A има разрешение за местоположение, а B не, и двете са оборудвани с един и същ SDK, има приличен шанс B да може да използва разрешението за местоположение на A и да събере вашите GPS данни.

За разлика от браузърите, вие също не можете просто да блокирате инструментите за проследяване на приложения. Единствената ви възможност е да преминете през настройките на приложението и да премахнете отметката от Съберете данни за анализа кутия ако има такава.

Можете също така да започнете да използвате уеб приложения на телефона си чрез браузъра си, което ви позволява да блокирате тракери с вградените инструменти на браузъра. Повечето водещи приложения като Instagram и Tinder предлагат сравними уеб приложения, които до голяма степен се държат като обикновени мобилни приложения. В процеса вие също ще спестите много място за съхранение и RAM.

Вашата поверителност е толкова силна, колкото и най-слабото звено в цялата верига на приложенията, а на телефоните тази връзка е SDK. И за съжаление не можете да направите нищо по въпроса, освен да преминете към приложения, които обещават повече сигурност за вашите данни. Надяваме се, че в бъдещите версии на Android и iOS Google и Apple ще въведат по-добри защити срещу тракери на трети страни.

Препоръки на редакторите

• Това коварно приложение за измама доказва, че Mac не са бронирани
• Чипът M1 на Apple има недостатък, но не трябва да се притеснявате
• Тези приложения използват A.I. за да автоматизира живота ви и да ви спести време
• Microsoft надгражда своите приложения на Outlook за подобрена работа след работно време
• Новото приложение Office на Microsoft загатва за потенциала на Surface Duo