Приложения для Android отслеживают вас, даже когда вы требуете прекратить

Приложения для Android отслеживают вас, даже когда вы требуете прекратить

Согласно новому исследованию рекламодатели собирают информацию, которая может помочь им обойти функцию конфиденциальности Android.

Примерно 17 000 приложений для Android собирают идентифицирующую информацию, которая создает постоянную запись активности на вашем устройстве, согласно исследованию Международного института компьютерных наук. По словам исследователей, сбор данных, по-видимому, нарушает политику Google по сбору данных, которые в большинстве случаев могут быть нацелены на пользователей для рекламы .

Приложения могут отслеживать вас, связывая ваш Advertising ID (рекламный идентификатор) — уникальный, но сбрасываемый номер, используемый для настройки рекламы — с другими идентификаторами на вашем телефоне, которые трудно или невозможно изменить: MAC-адрес, IMEI и Android ID. Менее трети приложений, которые собирают идентификаторы, принимают только Advertising ID, как рекомендуется Google для разработчиков.

«Конфиденциальность исчезает», когда приложения собирают эти постоянные идентификаторы, сказал Серж Эгельман, который возглавлял исследование. Он сказал, что его команда, которая в сентябре сообщила об этом Google , обнаружила, что большинство приложений отправляет идентифицирующую информацию в рекламные сервисы, что является явным нарушением политики Google.

Политики компании позволяют разработчикам собирать идентификаторы, но запрещают им комбинировать Advertising ID с идентификаторами оборудования без явного согласия пользователя или использовать идентификаторы, которые не могут быть сброшены, для таргетинга объявлений. Более того, лучшие практики Google для разработчиков рекомендуют собирать только Advertising ID.

Такое поведение вписывается в долгую историю технической индустрии по созданию мер конфиденциальности, которые веб-сайты и разработчики приложений быстро учатся обходить. Например, Adobe была вынуждена обращаться к файлам cookie Flash в 2011 году после жалоб на то, что фрагменты программного обеспечения могут сохраняться в вашем веб-браузере даже после того, как вы удалили все свои файлы cookie. Аналогичные жалобы возникли в 2014 году в связи с тем, что Verizon и AT & T отслеживали пользователей на нескольких устройствах. В 2012 году Microsoft обвинила Google в том, что он обошел свой стандарт конфиденциальности P3P , который позволил пользователям браузера Internet Explorer устанавливать свои предпочтения для файлов cookie.

Данные, собранные мобильными приложениями , вызвали еще более пристальное внимание из-за взрывного роста числа смартфонов и планшетов. В январе было установлено, что Facebook и Google использовали инструмент разработчика, чтобы обойти правила конфиденциальности Apple и создавать приложения для iOS, которые собирают информацию о пользователях. Скандал с Facebook на сайте Cambridge Analytica в 2018 году и другие споры о конфиденциальности вызвали необходимость более тщательного изучения того, как данные собираются и используются. Команда Эгельмана, которая ранее обнаружила, что около 6000 детских приложений неправильно собирают данные, заявила в четверг, что громкие приложения для взрослых отправляют постоянные идентификаторы в рекламные сервисы. Среди приложений были популярная игра для смартфонов Angry Birds Classic, а также аудиокниги от Audible и Flipboard. Также были найдены утилиты Clean Master, Battery Doctor и Cheetah Keyboard, разработанные Cheetah Mobile, для отправки постоянной информации в рекламные сети.

Все эти приложения были установлены как минимум на 100 миллионов устройств. Clean Master, телефонная утилита, которая включает в себя антивирус и услуги по оптимизации телефона, была установлена ??на 1 миллиард устройств.

Что Google делает с этим

По заявлению Google, они исследовали отчет Эгельмана и приняли меры по некоторым приложениям. Компания заявила, что ее политика позволяет собирать идентификаторы оборудования и Android ID для некоторых целей, таких как обнаружение мошенничества, но не для таргетинга рекламы.

Google может применять свои политики только тогда, когда приложения Android отправляют идентификаторы в собственные рекламные сети Google, такие как AdMob. Если приложения отправляют данные во внешние сети, Google заявляет, что не может отслеживать эти нарушения.

У Google есть ряд инициатив, направленных на защиту конфиденциальности и безопасности пользователей. В своем блоге в среду компания сообщила, что увеличила количество вредоносных приложений, которые она заблокировала в магазине Google Play, на 55 процентов в 2018 году.

Представители Rovio, которая разрабатывает серию Angry Birds, и Audible не ответили на запросы о комментариях.

Представитель Cheetah Mobile в своем электронном письме заявил, что его приложения отправляют Android ID устройства компании, которая помогает отслеживать установку своих продуктов. По словам представителя компании, эта информация не используется для целевой рекламы, и компания соблюдает все соответствующие правила и законы Google.

Он добавил, что протестированная исследователями версия Battery Doctor устарела; Cheetah Mobile обновил приложение в 2018 году, чтобы больше не собирать IMEI.

Flipboard заявил, что не использует идентификатор Android для таргетинга рекламы.

Сбор данных, выявленный Эгельманом и его командой, похож на проблему, из-за которой у Uber возникли проблемы с Apple в 2015 году. По сообщению The New York Times , генеральный директор Apple Тим Кук был в ярости, узнав, что Uber собирает идентификаторы оборудования пользователей iOS против Apple. политики и угрожали удалить приложение Uber из App Store.

Вы не можете сбросить другие идентификаторы, такие как MAC-адрес и IMEI. MAC-адрес — это уникальный идентификатор, который ваше устройство передает на интернет-соединения, такие как маршрутизаторы Wi-Fi. IMEI — это идентификатор вашего конкретного устройства. Оба идентификатора иногда могут использоваться для предотвращения доступа украденных телефонов к сотовой сети. Идентификатор Android ID — это еще один идентификатор, уникальный для каждого устройства. Его можно сбросить, но только в том случае, если вы запустите сброс устройства до заводских настроек.

Если приложения отправляют в рекламные сети какой-либо из этих идентификаторов, не имеет значения, сколько раз вы сбрасывали свой рекламный идентификатор.

Тот факт, что разработчики создают обходные пути для идентификатора рекламы, предполагает, что многие люди сбрасывают идентификатор, даже если большинство пользователей не знают о функции конфиденциальности.

Alt text

Владимир Безмалый

О безопасности и не только