Як рекламодавці отримують ваші дані за допомогою сканування встановленого ПЗ

  • 2 апреля, 11:55
  • 3806
  • 0

Як виявили експерти, понад 4000 програм Google Play «мовчки» збирають список усіх інших встановлених додатків у «знімку» даних, що дозволяє розробникам та рекламодавцям створювати детальні профілі користувачів. Про це говорить нещодавно опублікований дослідницький документ Leave my Apps Alone!

Додатки використовують інтерфейс програмування для Android, який сканує телефон для отримання детальної інформації про все інше програмне забезпечення (ПЗ), встановлене на ньому. Деталі програми — які включають імена, дати їх першого встановлення і нещодавнього оновлення та понад три десятки інших категорій — завантажуються на віддалені сервери без дозволу та без повідомлення самому користувачу.

Як рекламодавці отримують ваші дані за допомогою сканування встановленого ПЗ

Шлях збору інформації

Метод встановлених додатків (installed application method — IAM) в системі Android — це інтерфейси прикладного програмування, які дозволяють програмним розробкам безшовно взаємодіяти з іншими програмами на пристрої. Вони використовують два методи отримання різного роду інформації, що стосується встановлених додатків, до того ж жоден з яких не класифікується Google як «чутливий» API. Відсутність такої реакції з боку Android дозволяє використовувати методи IAM таким чином, що цього не бачать користувачі.

Не всі програми, які збирають дані про інші встановлені додатки, роблять це з шахрайською метою. Так, дослідники опитали кількох розробників і ті пояснили, що ця інформація їм потрібна для запуску програм, які дозволяють налаштувати домашній екран та ярлики для відкриття інших додатків. IAM-методи також використовуються VPN-каналами, програмним забезпеченням для резервного копіювання, менеджерами сповіщень, антивірусами, утилітами заощадження батареї та брандмауерами.

Водночас така інформація може бути використана рекламодавцями та розробниками для аналізу детального профілю користувачів. Експерти цитували попередні дослідження, в одному з яких виявлено, що перелік додатків, встановлених на мобільному пристрої, дозволив дослідникам визначити стать користувача з точністю від 70% до 82%. Подальший аналіз показав, що можна спрогнозувати такі риси, як віросповідання, статус стосунків, мова спілкування та країни, що цікавлять найбільше. Як виявили дослідники, визначені демографічні дані користувачів також включали вік, расу та рівень доходу.

Що з цим робити?

На сьогодні Google розглядає кілька змін до Android, які вже додані до бета-версії Android 11 (загальний реліз запланований на третій квартал, але не ясно, чи вийде він вчасно у зв’язку з карантином, викликаним пандемією COVID-19). Відповідно до нововведень, якщо програмний додаток має взаємодіяти з іншим програмним забезпеченням, розробник повинен або (1) прямо заявити в описі програми, що він хоче перевірити наявність іншого ПЗ на смартфоні, або (2) вимагати новий дозвіл під назвою QUERY_ALL_PACKAGES, чітка функція якого поки що залишається незрозумілою.

Але запропоновані зміни, як зазначають дослідники, досі не стосуються одного з головних недоліків IAM: програма не інформує користувачів про те, що їй потрібний дозвіл, який зачіпає конфіденційність. Це не дуже хороша новина.

Шпигунські дії

Дослідники вивчили 14342 безкоштовних додатків для Android у магазині Google Play та 7886 програм із відкритим кодом та проаналізували, як вони використовують IAM. В результаті дослідження виявилося, що 4214 програм Google Play, що становить трохи більш як 30% від тих, що потрапили в огляд, використовували метод IAM. Лише 228 програм із відкритим кодом, або трохи менш як 3%, зібрали деталі інших програм. Оскільки в маркеті Google розміщено понад 3 мільйони додатків, фактична кількість програм, що лізуть не у свої справи, майже напевно на порядок вище, ніж 4214, виявлені в дослідженні.

Наступні категорії мобільного ПЗ найчастіше збирали дані: Ігри (73%), Комікси (71%), Персоналізація (61%), Автомобілі та транспортні засоби (54%) та Сімейні застосунки (43%). На малюнку нижче перелічено використання IAMS для всіх категорій.

Як рекламодавці отримують ваші дані за допомогою сканування встановленого ПЗ

Переважна більшість додатків Google Play — 84% — зробили це за допомогою бібліотек коду сторонніх розробників. Нижче наведена таблиця з переліком 20 найпоширеніших бібліотек:

Як рекламодавці отримують ваші дані за допомогою сканування встановленого ПЗ

Перелік бібліотек, які найчастіше застосовують IAM. Зверніть увагу, що серед них є і бібліотека yandex.metrica

Під час обговорення результатів дослідники припустили, що переважна більшість викликів IAM, які виконуються бібліотеками рекламних оголошень, призначені для створення профілю, тому запропонували певні зміни в платформі Android. Головна рекомендація — користувачі мають бачити повідомлення про те, що новий додаток при інсталяції вимагає дозволу на доступ до інших вже встановлених програм. До того ж у користувача має бути можливість відмовити в доступі.

А що там в iOS?

Цікаво, що за даними дослідників, в системі iOS від Apple також використовуються методи, подібні до IAM, які дозволяють додаткам відстежувати інше встановлене програмне забезпечення. Тому експерти наполягають,  що в останніх версіях ОС має бути чітка вимога «всі дії, які можуть порушити конфіденційність особистих даних користувача, мають бути чітко оголошені в так званому «маніфесті програмного додатка». Таким чином, модераторам маркетів ПЗ буде простіше перевірити легітимність кожного додатку перед публікацією.

Як зазначалося раніше, в деяких випадках у програмних розробок є законні причини збирати дані щодо інших встановлених програм. Однак, є причини для занепокоєння. Тому слід дотримуватися наступних порад: по-перше, інсталювати тільки ті додатки, які точно будуть вам корисні. По друге, варто надавати перевагу платним розробкам, а не безкоштовним, оскільки останні більше залежать від рекламних доходів. Водночас програми з відкритим кодом збирають менше конфіденційних даних, зате частіше вимагають від користувачів дозволу на встановлення додатків від сторонніх розробників.

Джерело: imena.ua


0 комментариев
Сортировка:
Добавить комментарий