Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

iOS-приложения продают данные о местоположении пользователей вопреки запрету

02/03/22

apple spy-1

Многие iOS-приложения продают данные о местоположении пользователей брокерам данных несмотря на то, что это запрещено политиками Apple.

Согласно новому отчету американской некоммерческой организации The Markup, хотя Apple и Google заблокировали одну лазейку, которой пользовались компании, продающие и покупающие пользовательские данные, есть другой очень простой способ, которым они пользуются сейчас.

Прошлая лазейка заключалась в следующем: брокеры данных создавали SDK, обычно позволяющие разработчикам быстро и легко добавлять необходимые функции. Эти SDK также собирали пользовательские данные, в том числе о местоположении, которые брокеры потом могли продавать.

В прошлом году Apple заблокировала эти SDK и обязала разработчиков указывать, какие данные собирают их приложения и как используют.

Однако в прошлом месяце в реализованных Apple механизмах защиты был обнаружен пробел. Как оказалось, обязав разработчиков сообщать о собираемых данных, компания просто понадеялась на их честность.

Согласно отчету The Markup, многие приложения продолжают продавать данные о местоположении брокерам, причем делают это не через SDK, как раньше, а напрямую, добавив в свои политики конфиденциальности одну невинную фразу.

Если говорить точнее, в настоящее время брокеры данных стали применять следующий метод: если разработчик приложения заключил договор с брокером геолокационных данных, он может поставлять пользовательскую информацию непосредственно с сервера на сервер. Все это, конечно, происходит вне поля зрения магазина приложений.

Политики Apple требуют от приложений раскрывать, какие данные они собирают и как их используют, а также сообщать пользователям о том, что их данные могут быть переданы третьим сторонам. Тем не менее, кому эти данные продаются, сообщать не нужно, поэтому в политиках конфиденциальности многих приложений просто указывается, что они «передают данные партнерам».

Специалистам The Markup удалось ознакомиться с электронным письмом, присланным брокером данных Veraset (дочерняя компания SafeGraph) одному из разработчиков. В нем говорится, что разработчик может «отправлять данные Veraset с сервера на сервер (без необходимости устанавливать или поддерживать SDK)». Кроме того, сообщается, что разработчик может получать от $12 тыс. до $1 млн в года за передачу компании данных о местоположении пользователей.

У Apple и Google нет никакого реалистичного способа как-то контролировать эту практику, и покончить с ней поможет разве что антипиратское законодательство, считают специалисты The Markup.

Темы:iOSAppleОтрасльданные пользователей
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...