Найти тему
Эксплойт

Apple включила "Ярлыки конфиденциальности": Какие данные о вас собирают приложения

До конца не понятно, насколько эффективными будут эти предупреждения, но сама попытка является многообещающей.

Теперь приложения для Mac и iOS из AppStore будут показывать обязательные ярлыки, в которых они предоставляют краткое изложение своей политики конфиденциальности. Это своего рода "информация о пищевых добавках", только для приложений. Таким образом Apple наглядно показывает, к каким данным получит доступ приложение, а также что оно дальше  с этими данными будет делать.

Сама идея развития конфиденциальности и ярлыках, предупреждающих о ее нарушении - не нова. В начале 2010-х академические исследователи уже разработали прототипы ярлыков конфиденциальности для мобильных приложений. Еще раньше такие страны как Финляндия, Сингапур и Великобритания начали продвигать ярлыки, посвящённые безопасности IoT устройств. Но Apple, похоже, первый технологический гигант, который использует и продвигает подобную тактику с по-настоящему большим размахом.

"Подход Apple выглядит многообещающе, но остается не понятным, сколько пользовательских тестов было проведено для этого", говорит Лорри Крэнор, директор Лаборатории конфиденциальности и безопасности CyLab при Карнеги-Меллоне. "По мере развития сценария с реальными приложениями и реальными пользователями, будет интересно посмотреть что работает, а что нет - поймут ли разработчики, как правильно предоставить информацию, действительно ли они говорят правду, и понимают ли пользователи, что это означает - все эти вопросы остаются открытыми".

У ярлыка есть три категории: Данные, используемые для отслеживания, Данные, связанные с вами и Данные, не связанные с вами с отмеченными пунктами для каждого, подробно описывающими, что у приложения "под капотом". Ярлык может показывать, что приложение хочет собрать данные о вашем местонахождении, финансовых сервисах или контактах, и связывает это все с действующей учетной записью или идентификаторами, такими как идентификационный номер вашего устройства.

Ярлык конфиденциальности может пойти дальше, и оповестить о том, что приложение делится вашими данными с третьими лицами, например, c компаниями, которые будут отслеживать вас через свои веб сайты и сервисы.

-2

Многие приложения уже отправили информацию о том, как они работают и со дня на день получат свой Ярлык конфиденциальности, но повсеместными они станут только через некоторое время. Предоставление сведений о конфиденциальности является обязательным, когда разработчик отправляет новое приложение или обновление в Apple для проверки, а многие приложения имеют нечастые циклы обновления. Однако Apple заявляет, что некоторые разработчики все равно добавили информацию, возможно, чтобы избежать сокрытия чего-либо.

Но в сегодняшних реалиях сложно найти приложение, которое не отслеживает и не идентифицирует пользователей. Поскольку теперь предоставление данных для Ярлыков теперь является обязательным в магазинах приложений iOS и macOS, то разработчик должен предоставить фактическую информацию и со временем ее обновлять.

"Вы несете ответственность за точность и актуальность своих ответов", - говорится в руководстве Apple для разработчиков.

Магазины приложений, такие как Google Play и App Store, на протяжении многих лет постоянно борются с вредоносными приложениями, которые не проходят эти процессы аудита и проверки. Учитывая регулярный характер этого явления, похоже, что вводящие в заблуждение сведения о конфиденциальности также будут иногда появляться, по крайней мере, до тех пор, пока исследователи или неравнодушные пользователи не обнаружат и не укажут на несоответствия.

Пардис Эмами-Наейни, исследователь конфиденциальности из Вашингтонского университета, который работал с Кранором и другими над разработкой Ярлыков безопасности для Интернета вещей, отмечает, что ложная информация - не единственное препятствие. Некоторые разработчики могут не до конца понимать требования к предоставлению информации, или могут не иметь исчерпывающего понимания как именно их приложение собирает и распоряжается данными. Может показаться, что это должно быть очевидно, но на самом деле разработчики часто создают то, что им говорят, не давая направления, специально отображающего поток информации.

Например, само собой разумеется, что приложения часто включают уже существующий открытый исходный код, который может содержать механизмы отслеживания или сбора данных, о которых разработчики не имеют исчерпывающего представления. Процесс предоставления Apple данных о конфиденциальности может послужить для разработчиков хорошей возможностью убедиться, что они на самом деле понимают, что происходит внутри их программного обеспечения. Но так же легко представить, как некоторым разработчикам это не интересно и упускают из виду важные детали.

Также существуют определенные типы сбора данных, которые "необязательно раскрывать", поскольку данные не используются для отслеживания или собираются редко. Тип призван упростить задачу, поскольку бывают благоприятные ситуации, когда приложение собирает, скажем, одноразовый пинг местоположения, но нигде не передает его и дает пользователям четкую возможность отказаться. Проблема, однако, в том, что категория "необязательное раскрытие информации" кажется непаханым полем для лазеек и обходных путей.

"Если вы удовлетворяете всем параметрам, вам не нужно раскрывать определенную информацию, которую вы собираете, что кажется не очень хорошей идеей", - говорит Эмами-Наейни. "Разработчикам приложений достаточно просто сказать: "Мы соответствуем этим параметрам".

Эмами-Наэни хвалит Apple за такой большой шаг к нормализации представления информации, удобной для пользователей, избавляя их от необходимости изучать сложную и непрозрачную политику конфиденциальности. Но она подчеркивает, что ее также беспокоит то, как Apple будет контролировать достоверность информации на Ярлыках.

Как и в случае с данными о пищевых добавках в продуктах питания, многие пользователи просто игнорируют их или проверяют только один критерий, который их волнует. Но для людей, которые действительно изучают и пользуются Ярлыками, информация должна рисовать точную картину, чтобы быть полезной.

Если вы нашли эту статью полезной, то поделитесь ею с друзьями в социальных сетях!

По материалам Wired.
Изображение на обложке: Wired

Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.