Доктор Веб, 03/03/21
Согласно одному из исследований [1] , многие государственные приложения содержат различные трекеры (включая рекламные трекеры и трекеры от социальных сетей), которые передают личные данные пользователей третьей стороне. Напомним, что трекеры в мобильных приложениях предназначены для сбора статистики и аналитики о пользователях, а также для сбора информации об ошибках, возникающих при работе приложений. При этом разработчики таких трекеров могут находиться за рубежом, что ограничивает возможности для контроля и предотвращения противоправных действий. Согласитесь, не самые приятные выводы.
Исследование компании "Доктор Веб"
Поскольку вопрос достаточно острый, мы решили провести собственное расследование и выяснить, насколько все серьезно. Сразу спешим обнадежить: оказалось, что далеко не все так плохо. Но обо всем по порядку.
Рекламные трекеры есть не везде
В оригинальном исследовании говорилось о потенциальных рисках приватности, которые исходят от рекламных SDK и AdMob от Google в частности. Отмечалось, что соответствующий модуль находится в приложениях «Госуслуги Югры», «ЕМИАС.ИНФО», «Check Covid-19», «Налоги ФЛ», «Личный кабинет предпринимателя», «ЕИС» и «Дневник МЭШ». В действительности его в них нет. Все указанные программы созданы с использованием популярного инструментария разработки React Native, а также набора модулей React Native Firebase для него. И именно в этих модулях содержатся определенные строки с именами некоторых компонентов AdMob, из-за чего статический анализ мог ошибочно указать на наличие полноценного рекламного SDK.
AdMob
Из всех проверенных нами приложений AdMob был найден лишь в «Госуслугах», однако и в этом случае опасения оказались напрасны: модуль здесь просто-напросто никак не задействован. Вероятнее всего, он попал в программу случайно. Дело в том, что «Госуслуги» — не классическое Android-приложение. Оно создано при помощи специализированного фреймворка Xamarin. Основная логика такой программы расположена в отдельных DLL-файлах, в то время как исполняемый DEX-файл приложения содержит Xamarin SDK. Чтобы код из DLL-файлов получил доступ к сервисам Google, требуются специальные плагины. Весьма вероятно, что код рекламного SDK AdMob попал в приложение как раз с одним из наборов таких плагинов.
И Xamarin SDK, и React Native могут применяться для упрощения кросс-платформенной разработки.
AltBeacon и Estimote
Еще один вопрос у исследователей вызвали модули сервисов AltBeacon и Estimote, найденные в приложениях «Иду в музей» и «Зарядье». Однако они лишь используются для работы со специальными устройствами — Bluetooth-маячками, устанавливаемыми в музеях для удобства пользователей. С их помощью, например, определяется, рядом с каким экспонатом находится посетитель. При этом модуль AltBeacon не отправляет телеметрию на удаленный сервер, в то время как модуль Estimote был модифицирован так, что собираемая им аналитика передается не на иностранный ресурс, а на сервер парка «Зарядье». Поэтому в данных случаях ни тот, ни другой модуль нельзя отнести к полноценным (и тем более опасным) трекерам.
HockeyApp
Другой отмеченный в исследовании модуль — HockeyApp, содержащийся в приложении «Парковки Москвы». Относящийся к нему сервис аналитики был окончательно закрыт еще в 2019 году и давно не функционирует, поэтому к нему претензий быть не должно. Скорее всего, модуль попал в исследование по ошибке, поскольку в некоторых программах до сих пор остаются определенные следы от него.
В то же время, как и было указано в исследовании, многие из рассмотренных нашим вирлабом программ действительно содержат SDK от Facebook. Однако данный модуль применяется, например, для регистрации учетных записей через социальную сеть, а также содержит такие функции как, например, «Поделиться». Фактов сбора чувствительной информации этим SDK мы не выявили.
Казалось бы, волноваться не о чем. Но нашлась и ложка дегтя. Стоит отметить, что различные сервисы аналитики в основном оперируют обезличенными данными пользователей, что само по себе не так страшно. Исключениями являются рекламный идентификатор Google, а также точные данные о местоположении. И вот здесь уже появляются определенные риски для конфиденциальности. Все дело в том, что в ОС Android доступ к рекламному идентификатору может получить любое приложение. Предположим, что условная программа для онлайн-общения связала этот идентификатор с вашими данными (именем, фамилией, адресом электронной почты, номером телефона), после чего передала эту информацию третьей стороне, у которой произошла утечка, и данные попали в интернет. Используя тот же самый рекламный идентификатор, эти сведения можно сопоставить с данными, полученными через модули аналитики (например, связать с информацией о местоположении вашего устройства, выполняемых в приложениях действиях). В результате появляется потенциальная опасность того, что вас будут отслеживать и как минимум знать, кто вы и где вы находитесь. А это само по себе уже немало для тех же маркетологов и рекламодателей. Что и говорить, для злоумышленников это тоже будет ценно.
Mapbox и Flurry
Хорошая новость — в том, что обычно модули аналитики и трекеры не собирают точные данные о геолокации. Тем не менее, наши специалисты из вирусной лаборатории выяснили, что некоторые из них (при наличии доступа к соответствующей функции) все же это делают — возможно, для внутреннего использования. Например, модуль картографического сервиса Mapbox, применяющийся в ряде изученных приложений, собирает определенную телеметрию, в которую входит и точная геолокация. Однако при этом он не использует рекламный идентификатор Google, и поэтому такие данные можно считать обезличенными. Другой модуль — от сервиса Flurry — тоже собирает данные о местоположении, но лишь приблизительные. Для этого в самом SDK принудительно настраивается снижение точности данных перед их отправкой на сервер, что также нельзя расценивать как угрозу. При этом стоит отметить, что все трекинговые платформы имеют возможность отслеживать примерное местоположение при помощи IP-адреса, если, например, отсутствует доступ к геолокации.
Amplitude
А вот используемый в приложении «Московский транспорт» модуль сервиса Amplitude по сравнению с другими рассмотренными сервисами является наиболее спорным. Он не находится в российской юрисдикции, собирает точные данные о местоположении и позволяет отслеживать рекламные идентификаторы, что несет потенциальные риски раскрытия конфиденциальной информации. Кроме того, он записывает некоторые данные, вводимые пользователем, — например, о запрошенном маршруте, если не удалось его построить. Напрямую все эти действия не несут прямых рисков, однако для кого-то могут являться неприемлемыми. Тем более, что без этого модуля можно было бы легко обойтись.
Также стоит отметить, что все трекеры позволяют разработчикам отключать сбор данных о местоположении (который по умолчанию активен), но те такой функцией не воспользовались.
Выводы
Основной вывод таков: трекеры и различные модули аналитики в большинстве исследованных нами программ не представляют прямой угрозы для приватности за исключением используемого в приложении «Московский транспорт» противоречивого модуля. Однако это справедливо для версий приложений, актуальных на момент анализа. Разработчики могут вносить определенные изменения в ПО, удаляя или добавляя новые сторонние модули, поэтому ситуация с собираемыми данными, приватностью пользователей и безопасностью государственных программ со временем может измениться.
