Мобильные приложения сливают ваши данные? Как защититься от этого

Подавляющее большинство приложений для смартфонов передает сведения о пользователе и/или его устройстве сторонним компаниям, иногда - в обход полученных разрешений и по незашифрованным, то есть открытым каналам.

Пусть из-за этого не всегда стоит тревожиться, хорошего тут мало.

Впрочем, многими интернет-сервисами можно по старинке пользоваться без приложений, открыв их сайт в мобильном браузере.

Когда вы запускаете на смартфоне приложение (музыкальный плеер, магазин одежды, видеоигру, новости или что-то еще), оно почти наверняка незаметно подключается к серверам компаний, о которых вы не подозреваете, и передает им какие-нибудь данные: ваш пол, возраст, день рождения, местоположение, информацию об устройстве, номер телефона, электронную почту, логин и/или пароль.

В 2018 году ученые из Оксфордского университета опубликовали результаты исследования 959 тыс. приложений из магазина Google Play для смартфонов на Android.

Оказалось, что в 90,4% программ встроен счетчик хотя бы одной компании, а в 17,4% — больше десяти счетчиков.

"Но нельзя сказать, что если приложение имеет одно соединение, а не 30, то оно лучше: ничто не мешает владельцу этого приложения передавать данные сначала себе, а потом — своим партнерам.

Проверить это невозможно", — объясняет руководитель департамента системных решений Group-IB Антон Фишман.

Приложения на iOS в Оксфордском университете не проверяли, но показатели для программ из App Store, скорее всего, сопоставимы, потому что ни Google, ни Apple не запрещают разработчикам встраивать счетчики.

Кому и зачем нужны данные?

Часть получателей данных у всех на слуху, например, та же Google, но некоторые названия — AdMobius, Infolinks — вы даже никогда не слышали.

В основном эти загадочные фирмы, да и гиганты вроде Google с Facebook, среди прочего, что они делают, занимаются рекламой.

Они хотят узнать о вас самые разные сведения, чтобы их перепродать или использовать самим, чтобы предложить вам какой-нибудь товар или услугу.

Ставки высоки: по данным консалтингового агентства Emarketer, в 2018 году оборот рынка рекламы в интернете составил $283,4 млрд — это почти в семь раз больше, чем мировые кассовые сборы всех американских фильмов ($41,1 млрд).

По словам директора некоммерческой организации "Информационная культура" Ивана Бегтина, сведения о пользователе требуются не только для показа рекламы.

Если знаешь потребительские профили людей, их можно склонять к тратам, например, выставляя разную цену за одну и ту же услугу: поездку в такси, авиаперелет и т. п.

Еще данные нужны самим создателям приложений и сайтов, чтобы лучше понять свою аудиторию. Например, многие СМИ узнают количество просмотров страниц, источники трафика и т. п. через Google Analytics.

А сервис Firebase Crashlytics, принадлежащий той же Google, помогает разработчикам выявить и устранить неполадки в приложении — и для этого оно должно отправить информацию на серверы Firebase Crashlytics.

Даже когда вы просто заходите на сайт, ваши данные попадают куда-то еще.

В некоторые браузеры, в том числе Chrome и Safari, встроена система оповещения об опасных страницах, которая не дает их загрузить.

В октябре из-за нее чуть не разгорелся скандал.

В документации операционной системы iOS 13 нашли запись о том, что для проверки страниц браузер Safari использует сервис китайской компании Tencent, которой в США не доверяют из связей с властями КНР.

В Apple, разрабатывающей Safari, заявили журналистам The Verge, что сервис Tencent используется только на смартфонах в континентальном Китае (для всех остальных проверку осуществляет Google), история посещений пользователей браузера не передается на удаленные серверы, а саму проверку можно отключить в настройках.

Профессор Мэтью Грин, специалист по криптографии из университета Джонса Хопкинса, у себя в блоге написал, что это только половина правды.

При проверке сайта данные не пересылаются лишь на первом этапе — если же во внутренней базе данных Safari находится совпадение с опасным сайтом, браузер обращается к серверу Google для более тщательной проверки и в этот момент отправляет IP-адрес смартфона и адрес подозрительной страницы в измененном виде.

Гипотетически это позволяет идентифицировать человека, хотя пока никто не доказал, что это действительно возможно.

Словом, браузеры, как и приложения, отправляют сведения о пользователях третьей стороне, а отследить потоки информации получается не всегда.

Это законно?

Обычно в передаче данных нет ничего преступного.

В разных странах действуют законы о персональных данных (в России это №152-ФЗ).

"При регистрации или с началом использования продукта пользователь дает согласие, где указано, для чего компания собирает данные и что будет с ними делать.

И там зачастую пишут, что для оказания пользователю запрошенного сервиса компания может передавать данные своим партнерам.

И пользователь соглашается с этим", — объясняет Антон Фишман.

По его словам, если человек разместил данные о себе в социальных сетях, на форумах или еще где-нибудь в интернете, то есть сделал их публичными, то согласие на их использование не нужно, а к обезличенным данным, например IP-адресу, вообще не предъявляются никакие требования.

Передача сведений третьей стороне не противоречит и правилам платформ, несмотря на то, что люди все чаще возмущаются из-за нарушений приватности.

В конце концов, технологические компании-гиганты, от которых во многом зависит происходящее в интернете, тоже собирают данные.

"Когда мы говорим про использование информации с сайтов или мобильных устройств, те же самые Apple, Google иногда включают микрофоны, записывают и анализируют все, что ты говоришь.

Это делается для улучшения пользовательского опыта.

Эти функции можно отключить, но все-таки мне как пользователю неприятно, что такое происходит, пока телефон лежит в кармане", — рассуждает Антон Фишман.

С потребительской точки зрения это необходимое зло: бесплатные приложения и сайты нужно окупать — вот их создатели и продают сведения о клиентах (впрочем, для платных сервисов это тоже может быть дополнительным источником дохода); хочешь персонифицированные услуги — расскажи что-нибудь о себе, пусть даже тебя не спросили прямым текстом.

Так что же лучше: браузеры или приложения?

"Я не могу сказать, что одно лучше другого: давайте все пользоваться или браузером, или приложениями.

И у того и у другого есть свои плюсы и минусы", — говорит Антон Фишман.

Приложения получают доступ к данным, запрашивая разрешение, когда оно первый раз требуется или при первом запуске.

После этого разрешение действует, пока человек его не отзовет.

Только если его отозвать, то приложение зачастую перестает работать.

Страница в браузере тоже может попросить разрешение, но только на то время, когда эта страница открыта.

Зато в браузерах, в отличие от приложений, можно отключить в настройках выполнение скриптов, передачу данных (или установить расширения, которые это делают), использовать прокси-серверы, которые подменяют ваш IP-адрес.

Некоторые браузеры блокируют посторонние счетчики по умолчанию и преподносят это как конкурентное преимущество.

В 2016 году группа исследователей из Северо-Восточного университета в Бостоне попыталась разобраться, чем же все-таки пользоваться: браузерами или приложениями.

Они выяснили, что через веб-страницы чаще утекают имена и информация о местоположении, а данные о смартфоне — только через приложения.

В целом, считают исследователи, почти всегда лучше выбирать приложение, а не заходить на сайт через браузер.

"Номногое зависит от конкретного сервиса и от того, какой именно информацией больше дорожит человек", — сказал в письме ТАСС первый автор Дэвид Шофни.

Правда, за прошедшие три года он и его команда не проводили повторную проверку.

Возможно, новые встроенные средства защиты склонили бы их в пользу браузеров.

Сама по себе передача данных не обязательно несет в себе угрозу.

Зачастую компании получают информацию, которая не позволяет опознать конкретного человека, а лишь складывается в обезличенный профиль для нацеленного показа рекламы или добавления в большой массив данных для анализа.

Другие сведения, например, логин и пароль, попав не в те руки, способны навредить.

Разработчики могут отсылать их не на чужие, а на свои серверы, но делать это безалаберно — по незашифрованному каналу.

Тогда их способны перехватить злоумышленники.

У браузеров тут преимущество: доступ к большинству веб-страниц осуществляется по протоколу HTTPS с шифрованием, а если канал не защищен, об этом прямо написано в адресной строке.

Но люди не всегда обращают внимание на предупреждения, и с браузерами, в отличие от приложений, гораздо выше риск столкнуться с мошенниками.

Они создают страницы, точь-в-точь похожие на сайты банков, почтовых сервисов и т. п., где вы сами вводите информацию, которую ни за что не получит ни одно рекламное агентство или аналитический сервис: например, данные кредитной карты.

В сравнении с приложениями браузеры обладают менее глубоким доступом к устройству, вдобавок в них есть дополнительные настройки приватности и встроенные механизмы защиты.

Но если аналитические и рекламные счетчики зачастую не представляют настоящей угрозы, то веб-страница может быть мошеннической и потому действительно опасной.

Также стоит помнить, что и браузеры, и приложения работают в операционной системе.

Если настроить систему с помощью встроенных инструментов или специальных программ, то оба способа использования сервисов станут более надежными.

В конце концов, защита приватности — это ответственность не одних только разработчиков, но и самого человека.

Советы Group-IB

"Обновляйте устройства".

Имеются в виду обновления операционной системы и приложений: в них закрывают бреши, которыми могут воспользоваться злоумышленники.

По той же причине не следует пользоваться неофициальными прошивками для смартфонов: иногда люди их устанавливают, чтобы получить доступ к скрытым функциям, но в результате становятся жертвами обмана.

"Устанавливайте приложения только из официальных магазинов".

Для iOS это App Store, крупнейший магазин для Android — Google Play, но y Samsung, Huawei и других производителей также есть собственные торговые площадки.

В них проверяют, безопасны ли приложения, нет ли в них недокументированных функций. Впрочем, иногда злоумышленникам или просто недобросовестным разработчикам удается пройти проверку, а известно об этом становится не сразу.

"Пользуйтесь теми приложениями, которым доверяет как можно больше людей".

Хотя бывают исключения, популярные приложения обычно не мошеннические.

"Не устанавливайте приложение просто для того, чтобы его испробовать".

Если почти все приложения отдают ваши данные на сторону, незачем открывать в смартфоне еще один поток информации.

А в худшем случае вы столкнетесь с преступниками.

"Обязательно смотрите, какие разрешения просит приложение.

Если оно требует больше, чем нужно по функционалу, например, доступ к истории звонков или SMS, это повод задуматься и не ставить его".

Люди стали осторожнее — все чаще разработчики прямо пишут, зачем им то или иное разрешение.

Например, интернет-магазину может понадобиться доступ к SMS, чтобы уведомить о курьерской доставке.

"Параноики делают так: для таких подозрительных, но нужных приложений покупают второй телефон и закрывают доступ вообще ко всему (GPS, Wi-Fi), чтобы приложение физически не могло собрать данные".

"Заклеивать камеры и выключать телефон при конфиденциальных разговорах, убирать его в другую комнату — это тоже хороший подход".

Читайте свежие новости в нашем Телеграм канале - biznewsme

#новости #персональные данные #безопасность #браузеры #приложения