Почему не стоит доверять оценке конфиденциальности приложений в App Store
В iOS 14 добавили немало мер, повышающих прозрачность использования данных разными сервисами и приложениями. Появились индикаторы использования камеры и микрофона, а в App Store на страницах программ теперь есть раздел "Конфиденциальность приложения". В нём указывается, какую информацию оно собирает и передаёт куда-либо.
Издание The Washington Post провело небольшое расследование и проанализировало, какие данные действительно собирают десятки приложений, получившие высшую оценку конфиденциальности в App Store - "Сбор данных не ведётся". Для этого использовали программу Privacy Pro, которая проверяет наличие в приложениях SDK для отправки собранной информации.
Полученные данные помог проанализировать эксперт из Disconnect - компании, специализирующейся на безопасности в Сети и создавшей Privacy Pro. Особенное внимание уделялось тому, передаётся ли IDFA - уникальный идентификатор устройства, который позволяет сверять и соотносить данные, собранные разными способами.
Вот лишь несколько примеров того, что удалось обнаружить:
- Детская игра Satisfying Slime Simulator отправляет данные Facebook*, Google и сервису GameAnalytics. Она передаёт Unity не только IDFA, но также данные об уровне батареи, свободном месте на устройстве, приблизительную геолокацию и даже уровень громкости.
- Клиент соцсети Rumble передаёт Facebook* и Google вместе с IDFA ещё и анализ того, как пользователь взаимодействует с приложением. В ответ на письмо автора исследования разработчики изменили описание конфиденциальности.
- Картографический сервис Maps.Me, ранее принадлежавший Mail.ru, отправляет данные в Facebook* и Google, а также в аналитическую компанию Flurry и, собственно, Mail.ru. Представители приложения отметили, что просто не успели обновить данные конфиденциальности - и на момент публикации данного материала описание уже действительно изменили.
- Также в подобном уличили FunDo Pro — разработчики не отреагировали на письмо автора, - в то время как PlayerXTreme, Instdown и Whats Direct Chat and Web обновили информацию в App Store.
Аналогичные проблемы наблюдаются и в приложениях, которые, по заявлению разработчиков, собирают только не связанные с пользователем данные. Например, популярная казуальная игра Match 3D, которая якобы не отправляет персональные данные, на самом деле делилась идентификатором с дюжиной различных компаний. На обращение разработчики не ответили, но описание изменили.
Автор отметил, что в среднем одно приложение из трёх проверенных не соответствовало обещанным параметрам конфиденциальности - но выборка недостаточно репрезентативна, чтобы говорить обо всём App Store.
Так или иначе, похоже, что сейчас обещание Apple проводить аудит настроек конфиденциальности не работает должным образом из-за огромного количества ПО в магазине. Но функция появилась совсем недавно и, вероятно, со временем регулярные проверки наведут порядок в приложениях и играх. Пока же не стоит доверять разделу "Конфиденциальность приложения" на слово.
*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.
Станьте первым, кто оставит комментарий