В мобильных приложениях для смартфонов, созданных для госсервисов, обнаружены многочисленные скрытые встроенные алгоритмы отслеживания или модули мониторинга (так называемые трекеры), разработанные иностранными компаниями. Об этом в своем исследовании сообщили специалисты АНО "Инфокультура", протестировавшие 44 мобильных приложений.
В списке приложений оказались Moscow Transport и "Парковки Москвы" от столичного Департамента транспорта, а также "Добродел" (Правительство Московской Области), "Активный гражданин" (Информационный город ГКУ), "Услуги РТ" (Татарстан), "Мой налог" (ФНС России), "Социальный мониторинг" (Информационный город ГКУ) и многие другие.
Трекеры иностранного происхождения, несущие угрозу персональным россиян, были обнаружены не в каждом из них, но некоторые отличись тем, что имеют в своем составе сразу 10 различных "следилок".
Лишь 5 приложений на момент проведения исследования не имели ни одного встроенного трекера. Это программы ЕГР ЗАГС (разработчик – ФНС, 10 тыс. загрузок из Google Play), "Госуслуги.Дороги" (Минцифры, 100 тыс. скачиваний), "Липецкая область" (Липецкое ОБУ "ИТЦ", 50 тыс. загрузок), HISTARS (10 тыс. скачиваний) и "Работа в России" (более 1 млн загрузок, разработчик – Федеральная служба по труду и занятости).
Согласно исследованию, приложения одного и того же разработчика могут как не иметь интегрированных средств отслеживания полностью, так и содержать сразу несколько таких трекеров. Например, это упомянутая Федеральная налоговая служба, в приложении которой под названием "Проверка чеков ФНС России" найдено сразу четыре потенциальных зловреда, было скачано из Google Play более 100 тыс. раз, тогда как приложение "ЕГР ЗАГС" работает без трекеров.
Но настоящим рекордсменом по числу встроенных трекеров оказалось приложение Moscow transport, разработанное по заказу Дептранса Москвы. В нем их сразу 10, девять из которых иностранные, а количество его установок составляет в пределах 500 тыс.
На втором месте в рейтинге АНО "Инфокультура" находится приложение "Мои Документы Онлайн" с 1 млн загрузок из магазина Google и девятью трекерами.
Третью строчку занял "Добродел", разработанный по заказу правительства Москвы – 6 трекеров и около 100 тыс. загрузок.
В "Парковках Москвы", еще одной утилите столичного Дептранса, трекеров "всего" 4 при количестве скачиваний в пределах 1 млн.
В мобильных госприложениях чаще всего встречаются трекеры интернет-гиганта Google, и аналитики "Инфокультуры" связывают это с инструментами разработки ПО для Android, которые она предлагает сторонним программистам.
В числе таких трекеров есть Firebase Analytics (присутствует в 35 программах) и CrashLytics (есть в 21 программе) – они передают данные о работе приложений разработчикам для дальнейшей отладки программного обеспечения (ПО).
Но следят за российскими пользователями не только иностранные, но и отечественные копании. Например, трекер AppMetrica за авторством "Яндекса" исследователи обнаружили в 16 приложениях их 44.
Притом половина трекеров, российских и иностранных, как сказано в исследовании, направлены на "сбор данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам".
По мнению авторов записки, "анализ мобильных приложений, создаваемых за счет бюджетных средств, должен быть предметом внимания органов контроля, надзора и аудита, в том числе в части проверки на соответствие федеральному законодательству практик сбора и передачи данных".
Выводы аналитиков.
Авторы исследования выяснили, что в 88% из 44 протестированных ими госприложений есть хотя бы один трекер, передающий персональные данные сторонним компаниям. В 43% - как минимум три трекера.
Чаще всего (в 86%) трекеры отправляют данные в США – это в первую очередь алгоритмы Google, Facebook и Microsoft. Но приложение "Услуги РТ", предназначенное для жителей Татарстана, отсылает данные еще и в Японию.
15% приложений собирают данные о геолокации, а еще 15% - сведения для таргетирования рекламы.
Также эксперты отметили, что всем приложениям из выборки требуется как минимум пять разрешений на доступ к данным и функциям смартфона, притом каждая пятая программа использует хотя бы одно потенциально опасное разрешение. В их число попадают разрешения на доступ к хранилищу, геолокации, камере и т. д.
Какие данные собирает популярное приложение TikTok?
20 приложений, которые собирают о пользователях больше всего информации.
Как следят за людьми через соц. сети?