Не все так просто с безопасностью госприложений, потому что многие из них содержат функцию передачи пользовательских данных третьей стороне (в том числе за рубеж). Речь о так называемых трекерах, предназначенных для сбора статистики, аналитики и информации о возникающих ошибках.
Контроль и предотвращение противоправных действий, если разработчики трекеров находятся за границей, — не самое простое занятие. Так что выводы исследователей выглядят тревожными.
Мы решили разобраться в этом вопросе и проверить, насколько всё серьёзно. И вот что выяснили.
В исследовании фигурировали рекламные SDK и AdMob , найденные в таких приложениях:
- «Госуслуги Югры»;
- «ЕМИАС.ИНФО»;
- «Check Covid-19»;
- «Налоги ФЛ»;
- «Личный кабинет предпринимателя»;
- «ЕИС»;
- «Дневник МЭШ».
Но в действительности ничего криминального в них не оказалось: просто эти программы созданы с использованием популярного инструментария разработки и набора модулей для него. И именно в этих модулях содержатся определенные строки с именами некоторых компонентов AdMob, из-за чего статический анализ мог ошибочно указать на наличие полноценного рекламного SDK.
AdMob мы нашли в «Госуслугах», но, вероятнее всего, там он оказался случайно, благодаря использованию стандартного набора плагинов.
Тем временем многие из рассмотренных нами программ содержат SDK от Facebook, но чувствительную информацию тот не собирает.
Впрочем, ложка дёгтя всё же нашлась — в виде рекламного идентификатора Google и сбора данных о местоположении пользователей. Теоретически эти обезличенные данные вполне могут превратиться в персональные, поскольку в ОС Android доступ к рекламному идентификатору может получить любое приложение. А получив — связать идентификатор с именем, адресом электронной почты и т. д.
Хорошая новость: обычно модули аналитики и трекеры не собирают точные данные о геолокации. Но некоторые из рассмотренных нами всё же это делают — например, модуль картографического сервиса Mapbox. Правда, эти данные можно считать обезличенными, поскольку рекламный идентификатор Google здесь не задействован.
Самым спорным нам представляется модуль Amplitude в приложении «Московский транспорт», который:
- не находится в российской юрисдикции;
- собирает точные данные о местоположении;
- позволяет отслеживать рекламные идентификаторы;
- записывает некоторые данные, вводимые пользователем .
Основной вывод таков: на момент нашего анализа трекеры и модули аналитики в госприложениях приватности не угрожают — за исключением упомянутого выше модуля из приложения «Московский транспорт».
Посоветовать тут можно две вещи:
- Периодически меняйте рекламный идентификатор своего Android-устройства — это затруднит сбор информации о вас.
- Используйте антивирус Dr.Web для Android — он обнаруживает вредоносные модули-трекеры, а также нежелательные рекламные модули, которые могут представлять опасность.
