Як програми таємно шпигують за вами за допомогою сторонніх трекерів

У той момент, коли ви встановлюєте програму, вона починає шукати та дошкуляти вашим даним. Він запитує дозволи на доступ до внутрішніх пристроїв вашого телефону, просить вас зареєструвати кілька особистих даних — ви знаєте, як це робити.

Зміст

Порушення конфіденційності
Особисті дані видобуто
Ключова інформація похована

Однак, незалежно від того, наскільки ви ощадливі та пильні на кожному кроці, все одно є один спосіб, за допомогою якого більшість програм приховано видобуває ваші дані.

Кожна програма постачається в пакеті з тим, що технічно називається комплектами розробки програмного забезпечення (SDK). Щоб краще зрозуміти це, подумайте про додаток як про будинок Lego, де кожен блок діє як окремий ключовий модуль.

Пов'язані

Нарешті Microsoft Defender виглядає як справжнє антивірусне програмне забезпечення для окремих людей
6 речей, про які ви не підозрювали, що може ваш Mac
Apple може покласти край антимонопольним проблемам, зробивши iOS App Store більш схожим на Mac

Розробники програмують блоки, унікальні для їхніх додатків, наприклад їх дизайн і функції. Але такі компоненти, як реклама й аналітика, зазвичай не розробляються власними силами. Для цього вони звертаються до третіх осіб, які вже пропонують ці послуги. Все, що потрібно зробити розробникам, це підключити їх до своїх програм.

SDK були розроблені, як ви можете припустити, для прискорення розробки та усунення зайвих зусиль. Але останнім часом ці маленькі організації перетворилися на критичні лазівки в наших пошуках конфіденційності, оскільки компанії зловживали ними, щоб перекачувати особисті дані користувачів, навіть якщо вони цього не мали.

Пакети SDK перетворилися на лазівки в нашій конфіденційності, оскільки компанії зловживали ними, щоб перекачувати особисті дані користувачів, навіть якщо вони цього не мали.

Порушення конфіденційності

Ан Дослідження Оксфордського університету виявили, що майже третина всіх програм у Play Store була пов’язана принаймні з 10 сторонніми пакетами SDK і одним із п'ять ділилися даними користувачів із 20 SDK. Ця цифра експоненціально зростає у великих безкоштовних програмах. Наприклад, згідно з MightySignal, компанія мобільного аналізу, Tinder підключено до приголомшливих 51 SDK, Airbnb має 41, а ESPN має 40.

Більшість пакетів SDK збирають дані, які зазвичай не вважаються значущими. Вони відстежують, чого ви натискаєте в додатку, місця, де ви проводите більшу частину часу, з якою рекламою ви взаємодієте тощо. Але ця, здавалося б, нешкідлива практика може завдати серйозної шкоди вашій конфіденційності, якщо ви подивитеся, як усі ці дані вписуються в ширшу картину.

Оксфордське дослідження також показало, що 88% досліджуваних додатків можуть передавати дані компаніям, які в кінцевому підсумку належать Alphabet (материнській компанії Google), і 43% — службам, що належать Facebook.

Компанії, як Facebook і Google вже знають чимало про вас, і завдяки користуванню сотнями тисяч програм через SDK вони можуть точно налаштувати ваш цифровий профіль у своїй базі даних і обслуговувати вас цільово оголошення. Наприклад, якщо ви очікуєте та встановили програму, пов’язану з вагітністю, Google або Facebook потенційно можуть почати показувати вам рекламу дитячих товарів на основі цієї нової інформації.

Візуалізація SDKРуфана Рагімова/Getty Images

Особисті дані видобуто

Розробники, як правило, виправдовують усі ці SDK, стверджуючи, що дані зберігаються анонімними, а особиста інформація, наприклад ваш номер телефону, ніколи не розголошується.

Але насправді великі компанії мають можливість зв’язати навіть найдрібніші дані з вашим цифровим профілем. Додаток може не повідомляти SDK ваше ім’я чи адресу електронної пошти, але технологічні компанії можуть визначити це самостійно, перехресно обробивши це зі своїми наявними знаннями.

Програми не завжди обмінюються лише анонімними даними з SDK. Дослідник Лабораторії Касперського Роман Унучек знайдено 4 млн Android додатки надсилали незашифровані дані профілів користувачів, включаючи імена, доходи, номери телефонів, адреси електронної пошти та, наприклад, GPS-координати, на сервери рекламодавців.

Кілька тижнів тому, розслідування Electronic Frontier Foundation (EFF). виявили, що чотири аналітичні та маркетингові компанії накопичували інформацію, таку як імена, приватні IP-адреси, оператори мобільної мережі, постійні ідентифікатори та дані датчиків з Amazon Кільцевий додаток.

Два виділених пакета SDK EFF — Appsflyer і Facebook Graph — можна знайти в багатьох програмах, і експерти кажуть, що ймовірно вони також збирають подібний набір даних з інших програм.

У заяві представник Appsflyer сказав, що компанія не є брокером даних і «не створює таргетингу». профілі, не продає дані та не використовує іншим чином особисті дані користувачів програми для власних цілей».

Програма може не повідомляти SDK ваше ім’я чи адресу електронної пошти, але технологічні компанії можуть це визначити самостійно, перехресно обробивши це зі своїми наявними знаннями.

«Деякі аналітичні компанії надають розробникам додатків точний контроль над тим, яка інформація надається, але здається хорошим припущенням, що інші додатки нададуть аналогічний обсяг конфіденційних даних, якщо вони включатимуть ті самі бібліотеки», — сказав Вільям Будінгтон, автор розслідування EFF, Digital. Тенденції.

Багато пакетів SDK, які зараз відіграють незамінну роль у розробці програм, часто не чітко вказують, як вони обробляють дані користувача. У деяких випадках розробники не помічають і пропускають перевірку роботи SDK, піддаючи безпеці користувача ризик.

«На жаль, більшість розробників можуть не знати... наскільки нав’язливим може бути певний SDK під час створення власного програмного забезпечення, тоді як користувачі абсолютно не знають про це. той факт, що під час роботи мобільного додатка можуть існувати десятки інших організацій, які потенційно збирають конфіденційні та особисті дані», — сказав Нарсео Валліна-Родрігес, науковий співробітник відділу мереж і безпеки Міжнародного інституту комп’ютерних наук і член групи, яка розроблений Люмен, програма, яка монітори на які SDK ваш телефон передає дані.

Ключова інформація похована

Іншим вузьким місцем, через яке пакети SDK виходять з ладу, є те, що їх згода зазвичай ховається глибоко всередині Політиці конфіденційності програми, і часто розробники не підкреслюють, що користувачі надають вгору. Крім того, параметри безпеки програми не застосовуються до сторонніх SDK, тому людям практично не залишається вибору.

«Насправді є докази, які свідчать про те, що багато додатків повідомляють про свою політику конфіденційності неповну картину їхнього фактичного часу виконання та поведінки збору даних», — додав Нарсео Валліна-Родрігес.

До Android 10, SDK можуть навіть ділитися дозволами між двома непов’язаними програмами. Тому, скажімо, додаток A має дозвіл на визначення місцезнаходження, а додаток B — ні, і обидва оснащені однаковим SDK, є пристойний шанс, що B зможе отримати дозвіл на визначення місцезнаходження A та збирати ваші дані GPS.

На відміну від браузерів, ви також не можете просто заблокувати трекери програм. Ваш єдиний варіант – перейти до налаштувань програми та обов’язково зняти прапорець Збирайте дані для аналітики ящик, якщо він є.

Ви також можете почати використовувати веб-програми на своєму телефоні через браузер, що дозволяє блокувати трекери за допомогою вбудованих інструментів браузера. Більшість провідних програм, таких як Instagram і Tinder, пропонують порівняльні веб-програми, які в основному ведуть себе як звичайні мобільні програми. У процесі ви також заощадите масу пам’яті та ОЗП.

Ваша конфіденційність настільки міцна, як і найслабша ланка в усьому ланцюжку програм, а на телефонах цією ланкою є SDK. І, на жаль, ви нічого не можете зробити з цим, окрім як переключитися на програми, які обіцяють більший захист ваших даних. Сподіваємось, у майбутніх версіях Android та iOS Google і Apple запровадять кращий захист від трекерів сторонніх розробників.