Forwarded from Ivan Begtin (Ivan Begtin)
Privacy International опубликовали обновленные результаты проверки наиболее популярных приложений на предмет передачи детальной информации в Facebook при открытии и в процессе работы [1].
Приложений всего 21, но проверка их была детальной, хотя и охватывала только работу с Facebook'ом через SDK. Как выяснилось подробную информацию передавали практически все приложения. Некоторые исправили это поведение в марте и дали исследователям обратную связь, обещая исправиться.
К этому же исследованию я хочу напомнить про базу Exodus [2] в которой собраны результаты автоматического анализа практически всех приложений из Google Play с поиском и определением разрешений которые приложение затребует и какие трекеры отслеживания пользователя оно использует.
Например последняя версия приложения Яндекс.Такси [3] запрашивает 27 разрешений и содержит код 7 трекеров, приложение Госуслуги [4] требует 18 разрешений и содержит код 3 трекеров.
Другие известные и популярные приложения:
- Активный гражданин (Пр-во Москвы) [5]: 16 разрешений, 7 трекеров
- ProtonVPN - сервис доступа через VPN [6]: 5 разрешений, 1 трекер
- Яндекс Браузер [7]: 41 разрешение, 8 трекеров
- Браузер DuckDuckGo [8]: 6 разрешений, 0 трекеров
- Почта Mail.ru [9]: 37 разрешений и 15 трекеров
И так далее, проверять можно ещё долго. Обратите внимание на ProtonVPN и DuckDuckGo, они добиваются доверия пользователей именно потому что не следят за ним.
В мире подобным мониторингом приватности занимаются Privacy International в США и Exodus Privacy во Франции (с базой 50 тысяч приложений).
В России ничего подобного нет, хотя и прямо таки напрашивается. В целом ничто не ограничивает брать по топ 100 популярных приложений по категориям и строить их рейтинг слежки на основе той же Exodus Database.
Ссылки:
[1] https://privacyinternational.org/appdata
[2] https://reports.exodus-privacy.eu.org/en/
[3] https://reports.exodus-privacy.eu.org/en/reports/40896/
[4] https://reports.exodus-privacy.eu.org/en/reports/9815/
[5] https://reports.exodus-privacy.eu.org/en/reports/11464/
[6] https://reports.exodus-privacy.eu.org/en/reports/64814/
[7] https://reports.exodus-privacy.eu.org/en/reports/56151/
[8] https://reports.exodus-privacy.eu.org/en/reports/63903/
[9] https://reports.exodus-privacy.eu.org/en/reports/63870/
#privacy
Приложений всего 21, но проверка их была детальной, хотя и охватывала только работу с Facebook'ом через SDK. Как выяснилось подробную информацию передавали практически все приложения. Некоторые исправили это поведение в марте и дали исследователям обратную связь, обещая исправиться.
К этому же исследованию я хочу напомнить про базу Exodus [2] в которой собраны результаты автоматического анализа практически всех приложений из Google Play с поиском и определением разрешений которые приложение затребует и какие трекеры отслеживания пользователя оно использует.
Например последняя версия приложения Яндекс.Такси [3] запрашивает 27 разрешений и содержит код 7 трекеров, приложение Госуслуги [4] требует 18 разрешений и содержит код 3 трекеров.
Другие известные и популярные приложения:
- Активный гражданин (Пр-во Москвы) [5]: 16 разрешений, 7 трекеров
- ProtonVPN - сервис доступа через VPN [6]: 5 разрешений, 1 трекер
- Яндекс Браузер [7]: 41 разрешение, 8 трекеров
- Браузер DuckDuckGo [8]: 6 разрешений, 0 трекеров
- Почта Mail.ru [9]: 37 разрешений и 15 трекеров
И так далее, проверять можно ещё долго. Обратите внимание на ProtonVPN и DuckDuckGo, они добиваются доверия пользователей именно потому что не следят за ним.
В мире подобным мониторингом приватности занимаются Privacy International в США и Exodus Privacy во Франции (с базой 50 тысяч приложений).
В России ничего подобного нет, хотя и прямо таки напрашивается. В целом ничто не ограничивает брать по топ 100 популярных приложений по категориям и строить их рейтинг слежки на основе той же Exodus Database.
Ссылки:
[1] https://privacyinternational.org/appdata
[2] https://reports.exodus-privacy.eu.org/en/
[3] https://reports.exodus-privacy.eu.org/en/reports/40896/
[4] https://reports.exodus-privacy.eu.org/en/reports/9815/
[5] https://reports.exodus-privacy.eu.org/en/reports/11464/
[6] https://reports.exodus-privacy.eu.org/en/reports/64814/
[7] https://reports.exodus-privacy.eu.org/en/reports/56151/
[8] https://reports.exodus-privacy.eu.org/en/reports/63903/
[9] https://reports.exodus-privacy.eu.org/en/reports/63870/
#privacy
и снова с вами рубрика «никогда такого не было, и вот опять». Тут выяснилось, что facebook втихаря активирует камеру (если приложению дать права на доступ к камере) при прокрутке новостной ленты. похоже, там какой-то микс бага то ли в самом приложении FB, то ли в iOS.
https://twitter.com/joshuamaddux/status/1193434937824702464?s=21
Но в целом то, что приложения могут втихаря записывать контент с камеры,если приложению выдать пермишины на это, уже даже и не новость.
https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running
Наверно, было бы круто добавить в систему уведомления о том, что камера активна в какой-то момент (по типу того, как это показывается, когда записывается экран смартфона)
https://twitter.com/joshuamaddux/status/1193434937824702464?s=21
Но в целом то, что приложения могут втихаря записывать контент с камеры,если приложению выдать пермишины на это, уже даже и не новость.
https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running
Наверно, было бы круто добавить в систему уведомления о том, что камера активна в какой-то момент (по типу того, как это показывается, когда записывается экран смартфона)
X (formerly Twitter)
Joshua Maddux on X
Found a @facebook #security & #privacy issue. When the app is open it actively uses the camera. I found a bug in the app that lets you see the camera open behind your feed. Note that I had the camera pointed at the carpet.
Forwarded from Ivan Begtin (Ivan Begtin)
Приватность государственных мобильных приложений в России [1] - свежее исследование от команды @infoculture. Мы проверили 44 государственных мобильных приложения в которых 39 из них содержат код сторонних трекеров и 38 из них содержат код сторонних трекеров с юрисдикциями в США и Японии. Почитайте подробнее там, много интересного.
Об этом я сегодня буду говорить на Privacy Day, презентацию можно посмотреть по ссылке [2], а также вышла статья в РБК с комментариями представителей Минцифры и ДИТ Москвы [3]
И здесь мне тоже есть что добавить:
1. Конечно же речь идёт не только о "технических сервисах" вроде Google Firebase и Firebase Crashlytics. Многие трекеры являются совершенно необязательными и более похоже что их включили не по злому умыслу, а для удобства разработки и аналитики. Не подумав, в общем, что, впрочем, ответственных за них не оправдывает. Это такие сервисы как HockeyApp, Estimote, Flurry, AltBeacon и другие.
2. Если верить коллегам что без сервисов Google в экосистеме Android работать невозможно, то мы же понимаем что импортозамещение в этой области это просто профанация? Получается что есть экосистемные требования и у Правительства РФ нет другого пути кроме как с Google договариваться в будущем.
3. Все кто делают коммерческие мобильные приложения которые передают данные в зарубежные сервисы теперь знают что и госорганы поступают аналогично
4. Есть как минимум 5 госприложений в которых нет ни одного встроенного трекера, например, "Госуслуги.Дороги". То есть если очень хочется то можно создавать приложения и без слежки. Так почему же не всем и не всегда хочется?;)
5. Конечно, прежде чем публиковать материалы онлайн, очень хотелось бы вести профессиональный дискурс о вопросах приватности, безопасности, свободы и ограничений использования цифровых сервисов. Но вот не работает механизм дискуссий вокруг смысловых документов в России. Их приходится адаптировать под формат который был бы понятен и удобен СМИ, иначе обратной реакции от органов власти просто не возникает.
6. При этом всё очень конструктивно. У нас очень понятные рекомендации для регуляторов, контролёров, разработчиков и пользователей.
7. Это не последний обзор по этой теме, если есть какие-то приложения которые мы упустили, а они наверняка есть, то пишите, все подвергнем тщательной вивисекции.
P.S. Конечно результаты доступны и как открытые данные.
- Приложения и трекеры иностранных юрисдикций [3]
- Выборка исследуемых госприложений [4]
- Данные о трекерах госприложений [5]
- Сводные собранные данные по всем госприложениям [6] (трекеры, разрешения и т.д.)
Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://www.beautiful.ai/player/-MS6JaKYDpr8q1UCAjmA
[3] https://ngodata.ru/dataset/apps-trackers-jurisdiction
[4] https://ngodata.ru/dataset/gos-mobile-apps
[5] http://ngodata.ru/dataset/gos-apps-trackers
[6] https://ngodata.ru/dataset/gos-full-csv
#privacy #infoculture #mobileapps
Об этом я сегодня буду говорить на Privacy Day, презентацию можно посмотреть по ссылке [2], а также вышла статья в РБК с комментариями представителей Минцифры и ДИТ Москвы [3]
И здесь мне тоже есть что добавить:
1. Конечно же речь идёт не только о "технических сервисах" вроде Google Firebase и Firebase Crashlytics. Многие трекеры являются совершенно необязательными и более похоже что их включили не по злому умыслу, а для удобства разработки и аналитики. Не подумав, в общем, что, впрочем, ответственных за них не оправдывает. Это такие сервисы как HockeyApp, Estimote, Flurry, AltBeacon и другие.
2. Если верить коллегам что без сервисов Google в экосистеме Android работать невозможно, то мы же понимаем что импортозамещение в этой области это просто профанация? Получается что есть экосистемные требования и у Правительства РФ нет другого пути кроме как с Google договариваться в будущем.
3. Все кто делают коммерческие мобильные приложения которые передают данные в зарубежные сервисы теперь знают что и госорганы поступают аналогично
4. Есть как минимум 5 госприложений в которых нет ни одного встроенного трекера, например, "Госуслуги.Дороги". То есть если очень хочется то можно создавать приложения и без слежки. Так почему же не всем и не всегда хочется?;)
5. Конечно, прежде чем публиковать материалы онлайн, очень хотелось бы вести профессиональный дискурс о вопросах приватности, безопасности, свободы и ограничений использования цифровых сервисов. Но вот не работает механизм дискуссий вокруг смысловых документов в России. Их приходится адаптировать под формат который был бы понятен и удобен СМИ, иначе обратной реакции от органов власти просто не возникает.
6. При этом всё очень конструктивно. У нас очень понятные рекомендации для регуляторов, контролёров, разработчиков и пользователей.
7. Это не последний обзор по этой теме, если есть какие-то приложения которые мы упустили, а они наверняка есть, то пишите, все подвергнем тщательной вивисекции.
P.S. Конечно результаты доступны и как открытые данные.
- Приложения и трекеры иностранных юрисдикций [3]
- Выборка исследуемых госприложений [4]
- Данные о трекерах госприложений [5]
- Сводные собранные данные по всем госприложениям [6] (трекеры, разрешения и т.д.)
Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://www.beautiful.ai/player/-MS6JaKYDpr8q1UCAjmA
[3] https://ngodata.ru/dataset/apps-trackers-jurisdiction
[4] https://ngodata.ru/dataset/gos-mobile-apps
[5] http://ngodata.ru/dataset/gos-apps-trackers
[6] https://ngodata.ru/dataset/gos-full-csv
#privacy #infoculture #mobileapps
Эпол тут опять чтото сломала в своей системе, и некоторые системные приложения ходят в интернет мимо VPN-тоннелей, которые могут быть подняты на iPhone в этот момент
https://twitter.com/mysk_co/status/1579997801047822336?
Данные, которые ходят мимо VPN — данные о здоровье, кошелек, карты. Сами они по себе тоже обладают сквозным шифрованием, но сам факт удручает. Возможно, все закончится каким-то системным апдейтом с решением этой ситуации, но пока что Эпол молчит
если вы испытываете чувство дежавю, как я, то вот, например, новость об этом из далекого 2020 года, где похожая ботва уже происходила. Там же и апдейт по поводу текущей ситуации
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
https://twitter.com/mysk_co/status/1579997801047822336?
Данные, которые ходят мимо VPN — данные о здоровье, кошелек, карты. Сами они по себе тоже обладают сквозным шифрованием, но сам факт удручает. Возможно, все закончится каким-то системным апдейтом с решением этой ситуации, но пока что Эпол молчит
если вы испытываете чувство дежавю, как я, то вот, например, новость об этом из далекого 2020 года, где похожая ботва уже происходила. Там же и апдейт по поводу текущей ситуации
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Twitter
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:
…
We used @ProtonVPN and #Wireshark. Details in the video:
…
🖕27👍8🤬5🔥3😁2🤔2