7 В приложениях для смартфонов 10 поделитесь своими данными с сторонними службами

7 В приложениях для смартфонов 10 поделитесь своими данными с сторонними службами
Фотографии с смартфонов геотегов, даже если пользователь не знает. Пользователи смартфонов могут настроить свои настройки конфиденциальности, чтобы ограничить, кто может просматривать географические местоположения. (Фото: Граф армии США)

Наши мобильные телефоны могут много рассказывать о себе: где мы живем и работаем; кто наша семья, друзья и знакомые; как (и даже то, что) мы общаемся с ними; и наши личные привычки. Со всей информацией, хранящейся на них, неудивительно, что пользователи мобильных устройств предпринимают шаги для защиты своей конфиденциальности, например с использованием PIN-кодов или паролей чтобы разблокировать их телефоны.

Исследования, которые мы и наши коллеги делаем, идентифицируют и исследуют значительную угрозу, которую большинство людей пропустили: Более 70 процентов of приложения для смартфонов сообщают личные данные сторонним компаниям-трекунгам как Google Analytics, API-интерфейс Facebook или Crashlytics.

Когда люди устанавливают новое приложение для Android или iOS, оно запрашивает у пользователя разрешение до доступа к личной информации. Вообще говоря, это положительно. И некоторая информация, которую собираются эти приложения, необходима для правильной работы: приложение карты не будет почти таким же полезным, если оно не сможет использовать данные GPS для получения местоположения.

Но как только приложение имеет разрешение на сбор этой информации, оно может делиться вашими данными с тем, кого хочет разработчик приложения - позволяя сторонним компаниям отслеживать, где вы находитесь, как быстро вы двигаетесь и что делаете.

Помощь и опасность для библиотек кода

Приложение не просто собирает данные для использования на самом телефоне. Например, сопоставление приложений, отправьте свое местоположение на сервер, запускаемый разработчиком приложения, чтобы рассчитать маршруты от того места, где вы находитесь.

Приложение также может отправлять данные в другом месте. Как и в случае с веб-сайтами, многие мобильные приложения написаны путем объединения различных функций, предварительно кодированных другими разработчиками и компаниями, в так называемых сторонних библиотеках. Эти библиотеки помогают разработчикам отслеживать взаимодействие с пользователем, общаться с социальными сетями зарабатывать деньги, показывая рекламу и другие функции, без необходимости писать их с нуля.

Однако в дополнение к их ценной помощи большинство библиотек также собирают конфиденциальные данные и отправляют их на свои онлайн-серверы или в другую компанию. Успешные авторы библиотек могут создавать подробные цифровые профили пользователей. Например, человек может предоставить одно разрешение на использование своего местоположения, а другое - доступ к своим контактам. Первоначально это отдельные разрешения, по одному для каждого приложения. Но если оба приложения использовали одну и ту же стороннюю библиотеку и делили разные фрагменты информации, разработчик библиотеки мог бы связать фрагменты вместе.

Пользователи никогда не узнают, потому что приложениям не требуется сообщать пользователям, какие библиотеки программного обеспечения они используют. И только очень немногие приложения публикуют свои политики в отношении конфиденциальности пользователей; если они это делают, обычно в длинных юридических документах обычный человек не будет читать, а тем более понимать.


Получите последние новости от InnerSelf


Разработка Lumen

Наши исследования направлены на то, чтобы выявить, сколько данных потенциально собирается без знаний пользователей, и предоставить пользователям больше контроля над своими данными. Чтобы получить представление о том, что данные собираются и передаются с народных смартфонов, мы разработали бесплатное приложение для Android, которое называется Монитор конфиденциальности Lumen, Он анализирует отправку приложений для трафика, чтобы сообщить, какие приложения и онлайн-сервисы активно собирают личные данные.

Поскольку Lumen - это прозрачность, пользователь телефона может видеть информацию, которую установленные приложения собирают в режиме реального времени и с кем они делят эти данные. Мы стараемся показать детали скрытого поведения приложений простым и понятным способом. Это также касается исследований, поэтому мы спрашиваем пользователей, позволяют ли они собирать некоторые данные о том, что Lumen наблюдает за их приложениями, - но это не включает никаких личных или конфиденциальных данных. Этот уникальный доступ к данным позволяет нам изучить, как мобильные приложения собирают персональные данные пользователей и с которыми они обмениваются данными в беспрецедентном масштабе.

В частности, Lumen отслеживает, какие приложения работают на устройствах пользователей, независимо от того, отправляют ли они конфиденциальные данные из телефона, какие интернет-сайты они отправляют, сетевой протокол, который они используют, и какие типы личной информации каждое приложение отправляется на каждый сайт. Lumen анализирует трафик приложений локально на устройстве и анонимизирует эти данные перед отправкой их нам для изучения: если Google Maps регистрирует местоположение GPS пользователя и отправляет этот конкретный адрес на maps.google.com, Люмен сообщает нам: «Google Maps получил GPS и отправил его на maps.google.com "- не там, где это на самом деле.

Трекеры повсюду

Больше, чем пользователи 1,600, которые использовали Lumen с октября 2015, позволили нам анализировать больше, чем приложения 5,000. Мы обнаружили интернет-сайты 598, которые могут отслеживать пользователей в рекламных целях, включая социальные медиа-услуги, такие как Facebook, крупные интернет-компании, такие как Google и Yahoo, и интернет-маркетинговые компании под эгидой интернет-провайдеров, таких как Verizon Wireless.

Мы нашли это больше, чем 70 процентов приложений, которые мы изучали подключен, по крайней мере, к одному трекеру, а 15 процент из них связан с пятью или более трекерами. Каждый четвертый трекер собирал по крайней мере один уникальный идентификатор устройства, например номер телефона или его уникальный для устройства номер XEUMX-номера IMEI, Уникальные идентификаторы имеют решающее значение для онлайн-сервисов слежения, поскольку они могут подключать к одному человеку или устройству различные типы персональных данных, предоставляемых различными приложениями. Большинство пользователей, даже неприкосновенных друг от друга, не знают о скрытых практиках.

Больше, чем просто проблема с мобильностью

Отслеживание пользователей на своих мобильных устройствах является лишь частью большей проблемы. Более половины отслеживаемых нами приложений отслеживали пользователей через веб-сайты. Благодаря этой методике, называемой «кросс-устройством», эти службы могут создавать более полный профиль вашей онлайн-персоны.

И отдельные сайты отслеживания не обязательно независимы от других. Некоторые из них принадлежат одному и тому же юридическому лицу, а другие могут быть поглощены в будущих слияниях. Например, Alphabet, материнская компания Google, владеет несколькими доменами отслеживания, которые мы изучали, включая Google Analytics, DoubleClick или AdMob, и через них собирает данные из более чем 48 процентов приложений, которые мы изучали.

Пользователи онлайн-идентичности не защищены законами своей страны. Мы обнаружили, что данные передаются через национальные границы, часто заканчивающиеся в странах с сомнительными законами о конфиденциальности. Более 60 процентов подключений к сайтам отслеживания производится на серверах в США, Великобритании, Франции, Сингапуре, Китае и Южной Корее - шесть стран, которые развернули технологии массового наблюдения, Правительственные агентства в этих местах могут потенциально иметь доступ к этим данным, даже если пользователи находятся в страны с более сильным законодательством о конфиденциальности таких как Германия, Швейцария или Испания.

Подключение MAC-адреса устройства к физическому адресу (принадлежащему ICSI) с использованием Wigle.
Подключение MAC-адреса устройства к физическому адресу (принадлежащему ICSI) с использованием Wigle. ICSI, CC BY-ND

Еще более тревожно, мы наблюдали трекеры в приложениях, ориентированных на детей. Испытывая приложения 111 для детей в нашей лаборатории, мы заметили, что 11 из них просочился уникальный идентификатор, MAC-адрес, с маршрутизатором Wi-Fi, к которому он был подключен. Это проблема, потому что легко поиск в Интернете для физических местоположений, связанных с конкретными MAC-адресами, Сбор частной информации о детях, включая их местоположение, счета и другие уникальные идентификаторы, потенциально может нарушить работу Федеральной торговой комиссии правила защиты конфиденциальности детей.

Просто небольшой взгляд

Хотя наши данные включают в себя многие из самых популярных приложений для Android, это небольшая выборка пользователей и приложений, и, следовательно, вероятно, небольшой набор всех возможных трекеров. Наши результаты могут просто почесывать поверхность того, что может быть гораздо более серьезной проблемой, которая распространяется на регулирующие юрисдикции, устройства и платформы.

Трудно понять, что могут сделать пользователи. Блокирование конфиденциальной информации от выхода из телефона может ухудшить производительность приложения или пользовательский интерфейс: приложение может отказаться работать, если оно не может загружать объявления. Фактически, блокирование рекламы болит разработчикам приложений, лишая их источника дохода для поддержки их работы над приложениями, которые обычно бесплатны для пользователей.

Если люди больше желают платить разработчикам за приложения, это может помочь, хотя это не полное решение. Мы обнаружили, что, хотя платные приложения имеют тенденцию касаться меньшего количества сайтов отслеживания, они по-прежнему отслеживают пользователей и подключаются к сторонним службам отслеживания.

БеседаПрозрачность, образование и сильная нормативная база являются ключевыми. Пользователи должны знать, какая информация о них собирается, кем и для чего она используется. Только тогда мы, как общество, решаем, какие меры по защите конфиденциальности уместны, и поставим их на место. Наши результаты и результаты многих других исследователей могут помочь превратить таблицы и отслеживать самих трекеров.

Об авторах

Нарсео Валлина-Родригес, научный ассистент, Институт сетей IMDEA, Мадрид, Испания; Научный сотрудник, сеть и безопасность, Международный институт компьютерных наук, Калифорнийского университета, Беркли и Шрикант Сундаресан, научный сотрудник по информатике, Принстонский университет

Эта статья изначально была опубликована в Беседа, Прочтите оригинал статьи.

Похожие книги:

{amazonWS: searchindex = Книги; ключевые слова = конфиденциальность в Интернете; maxresults = 3}

enafarZH-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

Следуйте за InnerSelf

facebook-значокTwitter-значокНовости-значок

Получить последнее по электронной почте

{Emailcloak = выкл}

ВНУТРЕННИЕ ГОЛОСЫ

САМОЕ ЧИТАЕМОЕ