Сразу же после установки на смартфон мобильные приложения начинают собирать информацию, запрашивая разрешения на доступ к программам и выясняя личные данные пользователей. При этом даже если мы соблюдаем осторожность и не даем таких разрешений, существует способ, при помощи которого большинству приложений все-таки удается тайно получать информацию.

Как приложения шпионят за намиФото: digitaltrends.com

Как известно, каждое приложение включает в себя набор средств разработки (SDK). Чтобы лучше понять, представим приложение в виде домика Lego, каждый блок в котором представляет собой отдельный модуль. Разработчики программируют уникальные блоки приложений, например, дизайн и функции. Однако такие компоненты, как реклама и аналитика обычно в «дом» не встраиваются. На их роль привлекаются третьи стороны, уже предлагающие данные услуги. Все, что остается сделать разработчикам — включить в свои приложения готовые сервисы. Таким образом, в последнее время SDK все чаще выполняют роль лазеек, при помощи которых разные компании собирают наши данные.

Согласно результатам исследования специалистов Оксфордского университета, почти треть всех приложений в Play Store связана как минимум с десятью сторонними SDK, а каждое пятое приложение отправляет информацию двадцати SDK. В случае с широко распространенными бесплатными приложениями этот показатель еще выше. К примеру, приложение Tinder связано с 51 SDK, Airbnb — с 41, а ESPN — с 40.

Большинство SDK собирают информацию, которой мы обычно не придаем значения. Они отслеживают наши действия внутри приложений, места, где мы проводим большую часть времени, рекламные объявления, на которые чаще обращаем внимание и так далее. Тем не менее, такие «безвредные» действия могут нанести большой вред нашей конфиденциальности.

По данным того же исследования, 88% приложений отправляли информацию компаниям, принадлежащим Alphabet (родительская компания Google), а 43% — сервисам, принадлежащим Facebook.

Таким образом, действуя через сотни тысяч SDK, компании наподобие Facebook и Google получают возможность настраивать наш цифровой профиль в своей базе данных и отправлять нам целевую рекламу. К примеру, если женщина в положении устанавливает на смартфон приложение для беременных, очень скоро она начинает видеть рекламные объявления о детских товарах.

Разработчики оправдывают SDK, заявляя, что все данные хранятся анонимно, а конфиденциальная информация (например, номера телефонов) никогда не передается. На самом же деле, крупные компании имеют возможность доступа к информации в нашем цифровом профиле. Приложение может не сообщать SDK ваше имя или электронный адрес, но их можно вычислить самостоятельно, сравнив с уже имеющейся информацией.

Также стоит отметить, что данные, отправляемые на SDK, не всегда кодируются. Специалисты Лаборатории Касперского обнаружили, что 4 миллиона Android-приложений отправляют информацию о пользователях в незашифрованном виде, включая имена, номера телефонов, адреса электронной почты и даже координаты GPS.

Еще одним фактором, позволяющим SDK передавать информацию, является то, что все разрешения спрятаны в Политике конфиденциальности приложений, и зачастую разработчики не могут четко объяснить, на что именно дают разрешение пользователи. Кроме того, настройки безопасности приложений не применяются к сторонним SDK, что не оставляет людям никакого выбора.

Что интересно, вплоть до версии Android 10 SDK могли передавать разрешения между двумя никак не связанными друг с другом приложениями. Например, если приложение A имеет разрешение на определение местоположения, а приложение B — нет, но при этом оба используют один SDK, приложение B с большой вероятностью будет использовать разрешение A и собирать данные GPS.

Таким образом, наша конфиденциальность напрямую зависит от самого слабого звена в цепочке приложений, и в случае со смартфонами — это SDK. К сожалению, на данный момент изменить это невозможно. Будем надеяться, что следующие версии Android и IOS будут обладать лучшей защитой от сторонних трекеров.