Android-смартфони викрили в стеженні за користувачами

15

Навіть якщо користувач смартфона на android видалив найбільш підозрілі додатки, відключив можливість відстеження в налаштуваннях і вжив усіх необхідних заходів, цього недостатньо для того, щоб пристрій перестав стежити за ним. Про це свідчить дослідження експертів з дублінського трініті-коледжу.

Gizmodo.com

Дослідники проаналізували схеми передачі даних деякими популярними версіями ос android, включаючи варіанти, розроблені samsung, xiaomi і huawei. Виявилося, пристрої» з коробки ” навіть в режимі очікування постійно відправляють інформацію розробникам ос і деяким стороннім компаніям. При цьому часто відсутні можливості припинити ці процеси.

Значна частина відповідальності лежить на системних додатках, встановлених виробниками пристроїв для забезпечення функціональності, наприклад, додатках камер або тих, що призначені для обміну повідомленнями. Такий софт зазвичай неможливо видалити або модифікувати без рут-доступу, тому вони будуть відправляти інформацію розробникам, навіть якщо їх жодного разу не відкривали.

Зокрема, з’ясувалося, що додаток linkedin, попередньо встановлений samsung, регулярно відправляє на сервери microsoft інформацію про пристрій. Дані включають “телеметрію”, включаючи унікальний ідентифікатор і кількість встановлених додатків microsoft. Інформація також передається іншим компаніям, в тому числі, розробникам метрик, використовуваних додатками (найбільшим з яких є google).

Подібна практика характерна не тільки для samsung. Наприклад, додаток “повідомлення” на смартфонах xiaomi відправляє в google всілякі дані, включаючи логи часу кожен раз, коли користувач відправляв текст. Щось подібне відбувається і зі смартфонами huawei.

В основному мова йде про технічні дані, відправка яких мало турбує звичайних користувачів, — відомості про модель пристрою і розмір дисплея, ідентифікатори на зразок серійного номера смартфона або подібної інформації. Кожна з подібних деталей окремо не дозволяє ідентифікувати власника смартфона, але в сукупності вони формують унікальний «відбиток», за яким можна легко відстежувати пристрій. Не пов’язані безпосередньо з android додатки часто використовують власні ідентифікатори, які дозволяють досить легко встановити власника.

Gizmodo.com

У зв’язку з цим google останнім часом обмежує можливості додатків — розробникам повідомляється, що пов’язувати рекламні id пристрою і більш важливі дані на зразок imei заборонено. І хоча розробники додатків для аналітики можуть встановлювати подібний зв’язок, вони зобов’язані робити це з прямої згоди користувача.

При цьому google практично не обмежує розробників у праві збору всілякої інформації, переважно обмежуючи її використання. Збір даних триває навіть у фоновому режимі до тих пір, поки користувач не видалить по складними способами, або смартфон не вийде з ладу і буде викинутий. На питання журналістів про збір даних в google лаконічно відповіли, що так працюють сучасні смартфони, і збір обмеженої кількості даних необхідний для роботи базових сервісів в екосистемах пристроїв, наприклад, imei використовується для ідентифікації при доставці патчів, що усувають критичні уразливості.

В ході дослідження використовувався пристрій під управлінням т.зв. «/e/os» — операційної системи на базі android, в якій багато додатків замінені на еквіваленти без необхідності авторизації в акаунті google для роботи. Виявилося, що смартфон цілком може нормально функціонувати, нікуди не відправляючи дані у фоновому режимі. Іншими словами, подібне “відстеження” необхідно тільки тим, хто не уявляє себе поза екосистемою google.

Останнім часом регулятори багатьох регіонів, включаючи, сша і єс, цілеспрямовано посилюють правила обробки техногігантами даних, що дозволяють ідентифікувати користувачів. Проте» анонімні ” відомості, включаючи специфікації пристроїв і їх id, зазвичай не підпадають під дію цих законів, хоча їх легко можна використовувати для ідентифікації.