Эксклюзив 1 октября 2019

Шпион из смартфона: топ-10 приложений, собирающих ваши данные

Рынок персональных данных приносит технокомпаниям миллиарды долларов. Основной товар на нем — пользователи, которые передают информацию о себе десяткам сайтов и сервисов и даже не догадываются об этом. The Bell изучил топ-100 российского Google Play Store, чтобы понять, какие приложения собирают больше всего пользовательских данных.

Мы делали главные деловые СМИ страны, теперь делаем лучше — подпишитесь на email-рассылку The Bell!

Как мы считали

Для подсчета мы использовали топ-100 приложений в российском Google Play Store на сентябрь 2019 года по версии сайта AppBrain. Для того чтобы определить, какие данные и на какие площадки приложения передают информацию, мы использовали сервис App Census. Информацию о трекерах и запрашиваемых приложением разрешениях мы получили на платформе аудита приватности приложений Exodus.

Полную таблицу со всеми приложениям топ-100 можно найти по этой ссылке.

Кто передает больше всего данных

Как узнал The Bell, из 100 самых популярных бесплатных приложений в российском Google Play Store только 11 не делятся пользовательскими данными со сторонними площадками:

  • «ВТБ-Онлайн»
  • Yandex.Maps Widget
  • Navitel Navigator
  • игра «Логика и дедукция»
  • «Полиглот»
  • Russain Language — GO Keyboard
  • игра «Танчики 1990»
  • stopwatch
  • Ebookdroid reader
  • Anti-virus Dr.Web Light
  • Soviet Military Maps

Больше всего адресатов (каналов) передачи данных, по подсчетам The Bell, оказалось у приложения «Читай бесплатно» от Litres. Программа для чтения книг отправляет данные по 31 каналу. Не все приложения шифруют передаваемую информацию. Тот же «Читай бесплатно» отправляет по незашифрованным каналам Android Ad ID, который позволяет связать конкретное устройство с пользователем во всей рекламной системе Google. 

Из топ-100 12 приложений передают данные в незашифрованном виде — на собственные IP-адреса или третьим лицам:

  • игра «100 к 1»
  • peers.tv
  • Rutube
  • «Читай бесплатно» от Litres
  • НТВ
  • «Первый канал»
  • Нарды
  • Poker Game: World Poker Club
  • GPS Navigator CityGuide
  • Gismeteo Lite
  • игра Voyage 2: Russian Roads
  • Player Dream

Значительная часть из этого списка — приложения телевизионных каналов, отправляющие данные медиаизмерителю Mediascope (ранее TNS Russia — это название сохранилось в трекерах).

Лидером по количеству незашифрованных потоков пользовательских данных оказалось приложение «Первого канала». Оно передает Mediascope не только данные Android Ad ID, но и уникальный MAC-адрес устройства. Кроме того, приложение отправляет незашифрованную информацию рекламной сети AdFox.

Также оказалось, что приложения «Первого канала», телеканала «Россия» и НТВ при передаче данных в Mediascope используют протокол HTTP, а не более безопасный HTTPS.

Об этом говорят. «В случае если данные используют незашифрованный канал — это недоработка разработчиков, и данные могут быть доступны третьим лицам», — предупреждает аналитик Digital Security Максим Ромодин. Это значит, что при отправке данных провайдер или сторонние лица могут «влезть» в канал передачи информации и получить доступ к вашим данным — местонахождению или сетевому MAC-адресу устройства. Это позволит, например, маркетологам установить, каким устройством вы пользуетесь (дорогим или дешевым), а правоохранителям — отследить конкретное устройство в любой доступной им публичной сети.

«Безопасность данных пользователей – один из наших основных приоритетов, и мы регулярно проверяем корректность работы приложений, — заверил The Bell представитель ГК «Литрес». — В анализе данных от AppCensus использовалась версия приложения «Читай бесплатно» 3.3, но актуальная версия нашего приложения использует SDK Appodeal 2.5.7, и все данные в ней шифруются». В комментарии компании также говорится, что она рекомедует пользователям своевременно обновлять приложение: «это гарантирует корректность и безопасность его работы».

Лидеры по числу трекеров

Другая серьезная угроза безопасности — наличие рекламных трекеров, которые помогают Google и Facebook распознавать аккаунт пользователя в любых приложениях и показывать ему релевантную рекламу. Из ста самых популярных бесплатных приложений в российском Play Store только три не используют трекеры вообще. Это приложение для чтения книг Ebookdroid reader, антивирус Anti-virus Dr.Web Light и навигатор GPS Navigator CityGuide. По два трекера используют приложения «Яндекс.Метро» и «Qiwi Кошелек».

Лидером по количеству трекеров оказалось приложение для коротких видеороликов Coub. По данным сервиса Exodus, в коде приложения найдены 30 различных трекеров. Большая часть из них принадлежит Google и Facebook и собирает различную информацию о пользователе — от местоположения до просмотренной рекламы. Чуть меньше, 27 трекеров, у вышеупомянутого лидера по передаче данных — «Читай бесплатно» от Litres.

Самыми распространенными, что неудивительно, оказались трекеры рекламных сетей Google (41% всех приложений в Google Play), Facebook (13%) и Yandex (1%). Также часто разработчики прибегают к услугам трекера Flurry от Yahoo (присутствует в 12% приложений) и myTarget (2%).

Об этом говорят. Не все трекеры следят за пользователем ради заработка на рекламе. «Рекламные трекеры — это сопутствующий заработку на мобильной рекламе сервис, трекеры вроде Crashlytics — технические и помогают разработчикам в отладке приложений», — объясняет директор АНО «Информационная культура» Иван Бегтин. Также есть трекеры, которые отслеживают поведение пользователей, самый распространенный из них — Google Analytics.

«Передаваемые сервисами аналитики данные в большинстве имеют обезличенный вид и используются для анализа больших данных», — успокаивает Максим Ромодин из Digital Security. Аналитик напоминает, что Google предъявляет требования ко всем приложениям. Согласно политике компании, приложение должно запрашивать только необходимые для работы разрешения. Кроме того, данные, собранные приложением, не могут передаваться третьим лицам в рекламных целях или использоваться для шпионажа или слежки. В случае несоблюдения требований этой программы Google уведомит разработчика о возможном удалении приложения из магазина. При этом Google даже предлагает награду, если пользователи смогут уличить разработчиков в нарушении правил.

Что мы разрешаем приложениям

В большинстве случаев пользователь сам разрешает приложению доступ к своим данным. При установке приложения из Play Store и его первом запуске программа запрашивает у пользователя доступ к тем или иным функциям устройства. Например, практически все приложения в топ-100 просят доступ к чтению и записи данных на карте памяти. «Это необходимо для хранения кэша на карте памяти и офлайн-копий страниц», — объяснили необходимость доступа к карте памяти для «Яндекс.Браузера» в компании. Другие приложения могут хранить сохранения игр, кэш карт и иную информацию во внешней памяти устройства.

Гораздо сложнее дела обстоят с доступом к камере и аудио. По расчетам The Bell, из топ-100 российского Google Play Store доступ к ним запрашивают больше трети приложений.

  • По данным производителя ПО Symantec, 46% всех приложений на Android запрашивают доступ к камере смартфона, еще 25% хотят записывать аудио без уведомления пользователя (по другим данным, таких приложений может быть больше половины, а часть приложений может даже не запрашивать разрешения на отправку аудио на сторонние сервера или делать это, несмотря на прямой запрет).
  • Для сравнения: доля приложений на iOS с доступом к камере, согласно тому же исследованию Symantec, составляет 25%, с возможностью записывать аудио — 9%. Кроме того, приложения для смартфонов Apple не могут получить доступ к истории звонков и СМС на устройстве.

Об этом говорят. «Разработчики иногда целенаправленно добавляют в свои приложения редко востребованные функции, позволяющие запросить дополнительные права на пользовательском устройстве», — рассказывает Бегтин из АНО «Информационная культура». Он уточняет, что большое количество информации позволяет уточнить профиль пользователя как покупателя и получателя рекламы.

Но не вся информация заведомо запрашивается исключительно в коммерческих целях. Например, фитнес-приложения отслеживают геолокацию для корректной работы, а доступ к аудио позволяет работать голосовым ассистентам — Google Assistant и «Алисе» от «Яндекса».

Кто запрашивает больше всех разрешений

Наиболее жадным до пользовательских данных из топ-100 Google Play Store оказалось приложение социальной сети VK. При установке оно запрашивает 60 различных разрешений. Российским пользователям давно известно, что VK от Mail.ru Group отслеживает каждый шаг пользователя, вплоть до его точного местоположения с погрешностью до полуметра. 

Среди разрешений для VK сервис Exodus считает опасными:

  • доступ к местоположению (точному и примерному);
  • к камере;
  • аккаунтам на устройстве;
  • истории звонков;
  • сообщениям;
  • данным о смартфоне (модель, заряд батареи, количество свободной оперативной памяти);
  • доступ к микрофону;
  • доступ приложения к системным настройкам;
  • приоритетный режим показа уведомлений.

Чуть меньше разрешений запрашивают приложения «Сбербанк.Онлайн» и мобильный клиент Bitrix24 — по 49 и 48 запросов соответственно. Оба имеют доступ к местоположению пользователя, камере, записи аудио и модификации настроек. bitrix24 к тому же может самостоятельно (без уведомления пользователя) редактировать контакты и календарь.

Об этом говорят. Даже те разрешения, которые Exodus считает опасными, приложениям приходится запрашивать — во-первых, для того чтобы корректно работал весь их функционал, во-вторых, чтобы пройти модерацию на платформе Android, объясняет представитель «Яндекса» — и приводит примеры:

  • Местоположение: сайты могут запрашивать у пользователя его местоположение через HTML5 API. Разрешение нужно, чтобы наши приложения могли передавать местоположение пользователя с его позволения.
  • Доступ к камере: пользователь может загружать изображения и снимки с камеры на сайты.
  • Аккаунты: мы даем возможность авторизоваться в одном приложении «Яндекса» и использовать аккаунт в остальных, для этого необходимо это разрешение.
  • Чтение карты памяти и запись на карту памяти: необходимо для хранения кэша на карте памяти и офлайн-копий страниц.
  • Запись аудио: необходимо для работы голосового помощника «Алиса».

Цена данных

Проблема сохранения пользовательских данных — одна из самых важных на IT-рынке. Facebook и Google зарабатывают миллиарды долларов на рекламе, которую показывают миллионам людей по всему миру. Чтобы точнее показывать объявления, интернет-гиганты используют данные пользователей. Эти же данные они передают другим компаниям, чтобы они могли лучше таргетировать свои предложения. В то же время Apple отказалась от продажи данных пользователей, чтобы не подвергать их опасности, по сути, отрезав рекламодателям доступ к данным своих пользователей.

После скандала с Cambridge Analytica Facebook за короткое время потерял $6 млрд рыночной капитализации. Несмотря на это, компания продолжает собирать данные и продавать их третьим лицам. По примерным подсчетам, только Facebook может зарабатывать на продаже данных до $85 млн в год. По оценкам Financial Times, данные одного пользователя могут стоить от 10 центов до $2 в зависимости от социального статуса, возраста и других критериев.

Провести такой же подсчет для Google очень сложно. Если в Facebook пользователь сам заполняет свой профиль и лайкает интересные страницы, то Google собирает данные отовсюду: от поисковых запросов и выбранных результатов поиска до истории браузера и закладок. Именно поэтому конгресс США предлагает технологическим компаниям раскрывать стоимость проданных третьим лицам данных.

Российские законодатели пока не взялись всерьез за этот вопрос — все, что они предлагают, это хранение данных на территории России и прямое разрешение на использование персональных данных. Но доступ к пользовательской информации в какой-то момент непременно встанет и для российского рынка как одного из самых доходных и быстрорастущих.

Антон Баев