Для тех кто задается вопросами о том в чём риски встраиваемых трекеров, большое исследование от цифровой лаборатории ExpressVPN по трекерам использовавших SDK X-Mode [1]

Исследование выявило использование этого трекера в 450 приложениях скачанных совокупно 1.7 миллиардов раз.
Именно с его помощью правительство США следило (а может и следит сейчас) за мусульманскими общинами.

Это сейчас один из главных вызовов для рынка AdTech. Он вырос настолько и создал столь эффективные инструменты коммерческой слежки что уже нельзя говорить о том что "пусть о нас собирают данные, они ведь просто хотят наши деньги". Проблема в том что государства в данном случае могут выступать не только как "этичные регуляторы", но и как неэтичные потребители собираемых данных слежки за собственными гражданами и гражданами других стран.

Ссылки:
[1] https://www.expressvpn.com/digital-security-lab/investigation-xoth

#privacy #xmode #mobile #adtech

Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://play.google.com/store/apps/developer?id=%D0%A1%D0%9F%D0%91+%D0%93%D0%A3%D0%9F+%22%D0%A1%D0%9F%D0%91+%D0%98%D0%90%D0%A6%22
[3] https://play.google.com/store/apps/details?id=ru.spb.iac.ourspb
[4] https://play.google.com/store/apps/developer?id=%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9+%D0%B3%D0%BE%D1%80%D0%BE%D0%B4+%D0%93%D0%9A%D0%A3
[5] https://play.google.com/store/apps/details?id=com.minsvyaz.gosuslugi.stopcorona

#privacy #mobile

Этот выпуск рассылки [5] я решил целиком и полностью посвятить совсем нешуточному регулированию о предустановке отечественного ПО, оно вступило в силу с 1-го апреля и уже начались публикации о том что производители предустанавливают приложения как неудаляемые (пример - Samsung) [1].

Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.

Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.

Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.

Подробности по каждому приложению в сегодняшней утренней рассылке [5].

P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.

А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.

Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15

#privacy #government #apps #mobile

Для тех кто интересуется как проверять мобильные приложения на предмет того куда и как они передают данные и как это базово проверять, подборка инструментов:

- Exodus Privacy [1] - набор инструментов и база трекеров от французской НКО Exodus Privacy
- Pithus [2] - инструмент для анализа приложений для Android с удобным интерфейсом. Ограничения: apk файлы не более 65 мегабайт
- Apkpure [3] - сервис для выгрузки APK файлов для телефонов Android
- Mobile Security Framework [4] - инструмент анализа APK файлов, с полностью открытым кодом
- Virustotal [5] - умеет выдавать подробную информацию, в том числе, про APK файлы.
- AppCensus [6] - база данных и консультанты/исследователи разбирающие мобильные приложения и отслеживающие передаваемый ими трафик. Публикуют отчёты об исследованиях, например, австралийских приложений
- AppBrain [7] - большая база собранных метаданных и данных по мобильным приложениям
- AppFollow [8] - сервис мониторинга инсталляций и отзывов о приложениях.

В этому всему есть некоторое количество открытого кода, скриптов и так далее. Если кто-то захочет предметно проверить и сравнить, например, банковские приложения или самые популярные игры или ещё раз проверить госприложения - сделать это не так уж сложно.

Ссылки:
[1] https://exodus-privacy.org
[2] https://beta.pithus.org
[3] https://apkpure.com
[4] https://opensecurity.in
[5] https://virustotal.com
[6] https://www.appcensus.io
[7] https://www.appbrain.com
[8] https://appfollow.io

#privacy #android #mobile

Поскольку прошлая моя публикация про трекеры в мобильных приложениях наделала много шума, чего, в данном случае, у меня в планах не было. Давайте я буду заранее предупреждать о чём (или кто-нибудь ещё) напишу по этой теме. То что можно было сделать, но всего, либо руки не доходили, либо надо много сил и времени потратить:

Итак, список:
- юридический анализ условий использования приложений (государственных, предустанавливаемых, банковских или других списками). Подсказка - у некоторых госприложений вместо условий использования эдакий "черновичок", не то чтобы совсем пустой документ, но юридически ничтожный.
- динамический анализ приложений трудоёмкая такая работа, требует полноценного стенда или перепрошитых телефонов, но позволяет собрать инфу по всем подключениям ко всем серверам. Работает не идеально, потому что некоторые особо хитрые разработчики научились передавать под видом TLS трафика совсем другое, так, например, разработчики приложения Calm делают.
- углублённый анализ с декомпиляцией Android приложения - это почти всегда Java и там почти всегда можно что-то прочитать, хотя и многое подвергается обфускации. Но есть и программные библиотеки скомпилированные под разные платформы и идущие в связке с этими приложениями (кстати сама экосистема андроида очень неэффективная в части хранения и передачи данных). Это такая часть требующая повышенной аккуратности чтобы ничьи права не нарушить, но в этих библиотеках чего только нет. Даже без докомпиляции, к примеру, в библиотеку для работы с Яндекс картами вшиты ссылки на закодированные файлы в Dropbox и на Amazon AWS.
- персональные данные тут, на самом деле, надо объяснить что такое рекламный идентификатор устройства Андроид, идентификатор пользователя, цифровой фингерпринтинг и тд. А также показать на примерах как они собираются и куда передаются, и таких примеров много.
- инфраструктура коммерческой слежки а вот это отдельная и самая интересная тема, я не буду указывать на конкретного национального цифрового чемпиона у которого инфраструктура его трекера находится одноверменно в России и в Евросоюзе. И, внимание вопрос, как код этого трекера понимает на какой из серверов ему необходимо передавать данные и по каким критериям? Ответ на этот вопрос можно отложить на какое-то время, а можно кто-то догадается самостоятельно.

Как я уже писал ранее, то что ранее мы публиковали про трекеры в госприложениях и в предустановленных приложениях - это был самый что ни на есть поверхностный анализ, так что продолжение будет.

#privacy #mobile

Продолжая тему про государственные информационные системы, мобильные приложения, передачу данных третьим сторонам. Рассмотрим одно мобильное приложение от Минцифры в подробностях.

Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].

Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?

К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.
—
А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.

Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/

#privacy #mobile #apps #digital

Вчера в интервью Росбалту [1] я постарался насколько возможно изложить все опасения по поводу того как данные собираются мобильными приложениям и в чём проблема регулирования/отсутствия регулирования в этой области.

Ох и сложно, конечно, выдерживать конструктивную критику, но я старался как мог.

Ссылки:
[1] https://www.rosbalt.ru/moscow/2021/04/13/1897113.html

#privacy #mobile

В Коммерсанте статья о том Минэкономразвития РФ раскритиковали текущую модель предустановки отечественного ПО [1] поскольку это создаёт дискриминационные условия другим российским разработчикам и, честно говоря, я с этим абсолютно согласен.

Честно говоря я считаю что единственно допустимые модели вмешательства государства тут только в двух возможных решениях:
1) Запрет на предустановку любого ПО и запрет на невозможность удаления любого ПО. Неважно западное это ПО или российское - любое ПО должно иметь возможность удаления, впрочем это и так реализуют или сделают крупнейшие апп сторы.
2) Создание каталога ПО по категориям с пометкой "Проверено Минцифрой". Если уж Минцифра берёт на себя ответственность за то что у нас стоит на телефонах и тд. то пусть и сделают каталог и по каждой категории несколько приложений разных игроков, а не только сверх-крупный-монопольный-бизнес.

Ссылки:
[1] https://www.kommersant.ru/doc/4858731

#mobile #apps #regulation

Свежие госприложения:
- от Минцифры "Госключ" [1] для подписания договоров
- от МИД РФ "Зарубежный помощник" [2] со справочной инфой для граждан

Приложение от Минцифры совсем свежее и включает трекеры Google Firebase Analytics и Huawei Mobile Services (HMS) Core [3]

Приложение МИДа существует с 2016 года, но зарегистрированно было на их подрядчика Sitesoft (отдельный вопрос почему так) и поэтому ранее не находилось и у того же Сайтсофта в профиле в Google Play ещё несколько госприложений оказывается. Их тоже надо будет проверить. А вот это приложение МИДа просит доступ к контактам, набору номера телефона и ещё много к чему.

Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.gosuslugi.goskey
[2] https://play.google.com/store/apps/details?id=ru.sitesoft.mid&hl=ru
[3] https://beta.pithus.org/report/ae2b9cd4298554dfd12706ad4576b0e1695ecb57d8e95c53b462d5fecaba99c2
[4] https://reports.exodus-privacy.eu.org/en/reports/192278/

#mobile #privacy

Samsung попался на том что писал британским пользователям о необходимости установки обновления с российскими обязательными приложениями [1], за что компания позже извинилась, но, возникает очень интересный вопрос в связи с этим, а кому вообще эти приложения должны быть установлены?

Всем пользователям на территории России? Но в России есть и много граждан других стран, в том числе и приехавших ненадолго и использующих собственные мобильные устройства куленные в других странах.

Всем гражданам России? Но не все российские граждане живут в России и даже говорят на русском языке. Многие имеют двойное гражданство или ВНЖ других стран или просто живут в других странах и на территории России не появляются. Им тоже должны устанавливаться обязательные российские приложения?

Может быть это какие-то более сложные группы пользователей - тогда какие? Пока основной критерий - устройства проданные в России. Но это означает такой посыл что если кто-то туристом в Россию приехал - телефоны тут покупать не стоит.

Ссылки:
[1] https://habr.com/ru/news/t/582586/

#privacy #mobile #apps

Правительство решило расширить список [1] предустанавливаемого ПО программами для чтения книг
Инициатива которую я очень осуждаю - это всё что касается предустановки ПО.

Есть много причин почему вся она - одна большая ошибка:
1. Потребитель в минусе. Гражданина/потребителя/избирателя не спрашивают, не дают выбора из нескольких программ или отказа от их установки на этапе предустановки. Вместо этого безальтернативное одно приложение.
2. Большие становятся больше, малый и средний бизнес в пролёте. Предустановка ПО у которого от 500 тысяч инсталляций - это не про малый или средний бизнес, это про консолидацию рынка мобильных приложений и сверконсолидации в нескольких крупных игроках.
3. Правительство несёт ответственность за коммерческую слежку. А вот это особенно важный момент. Пока органы власти и Пр-во осуществляли регулирование, то они были, как бы, вне схватки. А теперь Правительство отвечает за всю слежку которую за пользователями ведут предустановленные приложения.

Ну и в который раз не могу не отметить что видно что есть лоббисты разработчиков приложений расширяющие этот список, но оказывается нет лоббистов интересов граждан. Интересы граждан не представлены, а значит это расширение списка не последнее.

Ссылки:
[1] http://government.ru/news/43958/

#mobile #privacy

Приложение родительского контроля Life360 поймали на продаже данных 33 миллионов пользователей [1]. Вернее как поймали, об этом и раньше было известно что продажа данных - это часть их бизнес модели, но подробности не были доступны. А вот теперь мы можем узнать из откровений бывшего сотрудника что Life360 продавали данные таким агрегаторам перс. данных как X-Mode и Safegraph. В статье также упоминается что X-Mode продавали данные департаменту обороны США, а Safegraph продавли их Centers for Disease Control and Prevention (CDC), агентству США отслеживающему распространение COVID-19.


Ссылки:
[1] https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user

#privacy #apps #mobile

Вы беременны и используете приложение для отслеживания своего здоровья? Почти 100% за Вами следят

Если бы я писал статью в популярный журнал, я бы начал именно с такого заголовка

У фонда Mozilla интересный проект Privacy not included по анализу приватности в мобильных приложениях. Я писал о нём коротко в мае 2022 г. [1], но тема шире и интереснее.

Исследователи в Mozilla проверяют приложения на предмет того:
- как компания использует данные
- можете ли Вы управлять Вашими данными
- какова история компании в использовании данных
- дружелюбность информации о приватности
- можно ли продукт использовать оффлайн

А также минимальные проверки безопасности:
- используется ли шифрование
- позволяют ли они использовать слабые пароли

А также несколько критериев применения ИИ:
- используется ли ИИ?
- доверенный ли ИИ?
- прозрачны ли решения компании по использованию ИИ?

и ещё много чего другого, почитайте методологию [2]

А теперь пример, в Mozilla проверили 20 наиболее популярных приложений для отслеживания здоровья в период беременности и признали 18 из 20 как не обеспечивающие приватность. [3]

При этом они не анализировали наличие кода передачи данным третьим сторонам (трекерам). Например, приложение Period Tracker [4] помечено как не обеспечивающее приватность, а если ещё и посмотреть на отчет в Exodus Privacy [5] то можно найти внешние 8 трекеров в этом приложении.

Почему Mozilla эту информацию не учитывают не знаю, по своему важны оценки, и их ручной проверки, и автоматической от Exodus Privacy.

А теперь, внимание вопрос, неужели кто-то полагает что аналогичные приложения в России или в других не-англоязычных странах существуют иначе?

Год назад примерно мы публиковали доклад от приватности мобильных приложений публикуемых госорганами [6]․ Всего 44 приложения тогда было и, как Вы догадываетесь, их приватность была далека от совершенства.

В качестве преданонса, и я об этом уже писал, в этом году мы скоро опубликуем исследование на ту же тему.

Оно обязательно выйдет в Телеграм канале Информационная культура, подписывайтесь и не переключайте каналы!

Ссылки:
[1] https://t.me/begtin/3826
[2] https://foundation.mozilla.org/en/privacynotincluded/about/methodology/
[3] https://foundation.mozilla.org/en/privacynotincluded/categories/reproductive-health/
[4] https://foundation.mozilla.org/en/privacynotincluded/period-tracker/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.period.tracker.lite/latest/
[6] https://privacygosmobapps.infoculture.ru/

#privacy #android #mobile #surveillance