Jak aplikacje potajemnie szpiegują Cię za pomocą modułów śledzących innych firm

W chwili, gdy instalujesz aplikację, zaczyna ona przeszukiwać i dręczyć Cię o Twoje dane. Prosi o pozwolenie na dostęp do wnętrza telefonu i rejestruje garść danych osobowych — znasz tę procedurę.

Jednak niezależnie od tego, jak oszczędny i czujny jesteś na każdym kroku, nadal istnieje jeden sposób, w jaki większość aplikacji potajemnie wydobywa Twoje dane.

Każda aplikacja jest dostarczana z szeregiem tak zwanych zestawów programistycznych (SDK). Aby lepiej to zrozumieć, pomyśl o aplikacji jak o domu Lego — w którym każdy blok działa jak pojedynczy kluczowy moduł.

Programiści programują bloki, które są unikalne dla ich aplikacji, takie jak ich wygląd i funkcje. Jednak komponenty takie jak reklamy i analizy zwykle nie są tworzone wewnętrznie. W tym celu zwracają się do stron trzecich, które już oferują te usługi. Wszystko, co programiści muszą zrobić, to podłączyć je do swoich aplikacji.

Jak można założyć, zestawy SDK zostały zaprojektowane w celu przyspieszenia rozwoju i wyeliminowania zbędnego wysiłku. Jednak ostatnio te małe podmioty stały się krytycznymi lukami w naszym dążeniu do prywatności, ponieważ firmy nadużywały ich w celu wysysania danych osobowych użytkowników, nawet jeśli nie powinny.

Uszczerbek na prywatności

Jakiś Badania na Uniwersytecie Oksfordzkim odkryło, że prawie jedna trzecia wszystkich aplikacji w Sklepie Play była połączona z co najmniej 10 pakietami SDK innych firm, a jedna na pięć udostępniało dane użytkowników aż 20 pakietom SDK. Liczba ta rośnie wykładniczo w przypadku bezpłatnych aplikacji na dużą skalę. Na przykład według Potężny sygnał, mobilna firma wywiadowcza, Tinder jest podłączony do oszałamiającej liczby 51 zestawów SDK, Airbnb ma 41, a ESPN ma 40.

Większość zestawów SDK gromadzi dane, o których normalnie nie pomyślałbyś, że mają jakiekolwiek znaczenie. Śledzą, czego dotykasz w aplikacji, obszary, w których spędzasz większość czasu, z którymi reklamami wchodzisz w interakcję i nie tylko. Jednak ta pozornie nieszkodliwa praktyka może poważnie zaszkodzić Twojej prywatności, jeśli spojrzysz na to, jak wszystkie te dane pasują do szerszego obrazu.

Badanie z Oksfordu ujawniło również, że 88% badanych aplikacji może przesyłać dane do firm, które ostatecznie są własnością Alphabet (matki Google), a 43% do usług należących do Facebooka.

Firmy takie jak Facebook i Google już sporo o Tobie wiedzą, korzystając z setek tysięcy aplikacji za pośrednictwem pakietów SDK są w stanie dostroić Twój profil cyfrowy w swojej bazie danych i służyć Ci odpowiednio reklamy. Na przykład, jeśli spodziewasz się dziecka i masz zainstalowaną aplikację związaną z ciążą, Google lub Facebook mogą potencjalnie zacząć wyświetlać Ci reklamy produktów dla dzieci na podstawie tych nowych informacji.

Wydobyto dane osobowe

Programiści zwykle usprawiedliwiają wszystkie te pakiety SDK, twierdząc, że dane są anonimowe, a dane osobowe, takie jak numer telefonu, nigdy nie są udostępniane.

Ale w rzeczywistości duże firmy mają możliwość powiązania nawet najmniejszego fragmentu danych z Twoim profilem cyfrowym. Aplikacja może nie przekazywać SDK Twojego imienia i nazwiska ani adresu e-mail, ale firmy technologiczne mogą to ustalić samodzielnie, przetwarzając je krzyżowo z istniejącą wiedzą.

Aplikacje nie zawsze udostępniają pakietom SDK wyłącznie anonimowe dane. Badacz z Kaspersky Lab Roman Unuchek znalazł 4 miliony Android aplikacje wysyłały niezaszyfrowane dane profili użytkowników – w tym nazwiska, dochody, numery telefonów, adresy e-mail i, w jednym przypadku, współrzędne GPS – na serwery reklamodawców.

Kilka tygodni temu, dochodzenie Electronic Frontier Foundation (EFF). odkryło, że cztery firmy analityczne i marketingowe gromadziły takie informacje, jak nazwiska, prywatne adresy IP, operatorzy sieci komórkowych, trwałe identyfikatory i dane z czujników z Amazon Aplikacja Pierścień.

Dwa z zestawów SDK wyróżnionych przez EFF – Appsflyer i Facebook Graph – można znaleźć w wielu aplikacjach, a eksperci twierdzą, że prawdopodobnie zbierają one podobny zestaw danych również z innych aplikacji.

W oświadczeniu rzecznik Appsflyer stwierdził, że firma nie jest brokerem danych i „nie tworzy strategii targetowania profili, nie sprzedaje danych i nie wykorzystuje w żaden inny sposób danych osobowych użytkowników aplikacji do własnych celów.”

„Niektóre firmy analityczne dają twórcom aplikacji precyzyjną kontrolę nad dostarczanymi informacjami, ale wydaje się dobrym założeniem, że inne aplikacje przekażą podobną ilość wrażliwych danych, jeśli uwzględnią te same biblioteki” – powiedział Digital William Budington, autor badania EFR Trendy.

Wiele pakietów SDK, które obecnie odgrywają niezastąpioną rolę w tworzeniu aplikacji, często nie określa jasno, w jaki sposób radzą sobie z danymi użytkownika. W niektórych przypadkach programiści przeoczają i pomijają sprawdzanie działania zestawu SDK, narażając bezpieczeństwo użytkownika.

„Niestety większość programistów może nie wiedzieć… jak inwazyjny może być dany SDK podczas tworzenia własnego oprogramowania, podczas gdy użytkownicy są zupełnie nieświadomi fakt, że uruchamiając aplikację mobilną, mogą działać dziesiątki innych organizacji, które mogą gromadzić dane wrażliwe i osobiste” – powiedział Narseo Vallina-Rodriguez, pracownik naukowy w dziale sieci i bezpieczeństwa Międzynarodowego Instytutu Informatyki oraz członek zespołu, który rozwinięty Lumen, aplikacja, która monitory do jakich zestawów SDK Twój telefon przesyła dane.

Kluczowe informacje zakopane

Kolejnym wąskim gardłem, które umożliwiło pakietom SDK wpadnięcie w szał, jest to, że ich zgoda jest zazwyczaj głęboko zakopana Politykę prywatności aplikacji i często programiści nie podkreślają wyraźnie tego, co przekazują użytkownicy w górę. Co więcej, ustawienia zabezpieczeń aplikacji nie mają zastosowania do pakietów SDK innych firm, co pozostawia użytkownikom niewielki lub żaden wybór.

„W rzeczywistości istnieją dowody wskazujące, że to, co wiele aplikacji zgłasza w swoich politykach prywatności, oferuje niekompletny obraz ich rzeczywistego działania i zachowań związanych z gromadzeniem danych” – dodał Narseo Vallina-Rodriguez.

Do Androida 10 Zestawy SDK mogą nawet dzielić uprawnienia między dwiema niepowiązanymi aplikacjami. Zatem, powiedzmy, że aplikacja A ma pozwolenie na lokalizację, a B nie i obie są wyposażone w ten sam SDK, istnieje spora szansa, że ​​B będzie mógł skorzystać z pozwolenia na lokalizację A i zebrać Twoje dane GPS.

W przeciwieństwie do przeglądarek nie można po prostu blokować modułów śledzących aplikacje. Jedyną opcją jest przejrzenie ustawień aplikacji i odznaczenie opcji Zbieraj dane do analiz pudełko, jeśli takie istnieje.

Możesz także rozpocząć korzystanie z aplikacji internetowych na swoim telefonie za pośrednictwem przeglądarki, co pozwala blokować moduły śledzące za pomocą wbudowanych narzędzi przeglądarki. Większość wiodących aplikacji, takich jak Instagram i Tinder, oferuje porównywalne aplikacje internetowe, które w dużej mierze zachowują się jak zwykłe aplikacje mobilne. W ten sposób zaoszczędzisz także mnóstwo miejsca na dysku i Baran.

Twoja prywatność jest tak silna, jak najsłabsze ogniwo w całym łańcuchu aplikacji, a na telefonach tym ogniwem jest pakiet SDK. I niestety nie możesz nic z tym zrobić poza przejściem na aplikacje, które obiecują większe bezpieczeństwo Twoich danych. Mamy nadzieję, że w przyszłych wersjach Androida i iOS Google i Apple wprowadzą lepszą ochronę przed modułami śledzącymi innych firm.

Zalecenia redaktorów

• Ta przebiegła aplikacja dowodząca, że ​​komputery Mac nie są kuloodporne
• Chip Apple M1 ma wadę, ale nie powinieneś się martwić
• Te aplikacje wykorzystują sztuczną inteligencję. aby zautomatyzować Twoje życie i zaoszczędzić czas
• Firma Microsoft aktualizuje swoje aplikacje Outlook, aby usprawnić pracę po godzinach
• Nowa aplikacja Office firmy Microsoft wskazuje na potencjał Surface Duo