Google погрозил миллионам Android-приложений, ворам персональной информации

Google предупредила разработчиков приложений для Android, что программы, которые скрывают политику конфиденциальности возможно будут стёрты из магазина Google Play после 15 мая 2017. Как пишет The Next Web, в магазине недовольны, что владельцы приложений не сообщают, с какой целью они запрашивают разрешение на доступ к персональной информации и не объясняют, как она будет храниться. Последний скандал с персональными данными случился пару недель назад. В январе 2017 года в шпионаже за пользователями заподозрили популярное приложение Meitu. Средство для стилизации портретов потребовало у пользователей доступ к телефонному номеру, информации о звонках, геолокации, а также к памяти телефона, приложение распространялось и под Andorid, и в AppStore Apple для iPhone.

Приложения из Google Play регулярно попадают в истории о доступе к персональным данным на сомнительных основаниях. В январе 2017 года исследователи опубликовали статистику о 283 мобильных приложениях с реализаций функций VPN из Google Play. Больше чем для половины, для 67% из исследованных приложений, их владельцы пообещали в описаниях повышенную защиту частных данных. Одновременно в 82% случаев приложения попросили при установке права доступа к ресурсам, содержащим такие как подробности о пользователе, как параметры его учётной записи или текстовые сообщения абонента, сообщал Opennet.

Громкий скандал произошёл летом 2016 года, когда в Google Play вернулась китайская клавиатура «шпион» — до удаления её установили минимум 50 миллионов раз. От других программ для набора текстов или эмоджи Flash Keyboard отличалась тем, что запрашивала ненужные альтернативным клавиатурам: доступ к камере устройства, оповещениям почтовой системы, локационным данным GPS и Wi-Fi, просила разрешение на ликвидацию фоновых процессов, а при работе отправляла некие данные на серверы в США, Нидерландах и Китае. В 2014 году обвинение в злоупотреблениях получил сам Google. Национальная комиссия по свободе информации Франции (CNIL) заявила: «Информация об использовании персональных данных, которую предоставляет Google, недостаточна и неполна. Такие данные, полученные компанией через один из своих сервисов, в дальнейшем без каких-либо оснований используются и в других сервисах, что нарушает права пользователей интернета».

Как операторы мобильной связи работают с партнёрами, чтобы собирать, обрабатывать и продавать информацию

Персональные данные пользователей можно использовать в благих целях, не использовать вообще, и можно продавать. В декабре 2016 года директор компании Cambridge Analytica Александр Никс, которому приписывают участие в блистательной онлайн-компании кандидата в президенты США Дональда Трампа, объяснил: «фирма закупает персональные данные из всех возможных источников: кадастровые списки, бонусные программы, телефонные справочники, клубные карты, газетные подписки, медицинские данные. В США возможно купить почти любые персональные данные. […] Затем Cambridge Analytica скрещивает эти данные со списками зарегистрированных сторонников [… партий] и данными по лайкам-репостам в Facebook — вот и получается личный профиль […] Из цифровых данных вдруг возникают люди со страхами, стремлениями и интересами — и с адресами проживания».

Добавить 9 комментариев

  • Ответить
    ZayunyaTyan founder, the teplotrassa

    Да бред, если я решу поставить приложение от гугла с разрешениями на всё, то мне уже точно не будет волновать, что там в пользовательском соглашении. Стремления гугла ни к счему, лучше бы сделали запрет приложениниям лезть не туда, как в айфонах.

    Кстати, а если в афоне приложение спрашивает доступ к фото/местоположению, то у меня подозрение, что тот же номер телефона оно видит по умолчанию и не спрашивает. Так ли это?

  • Ответить

    Стремление гугла логично. Если не подстраховаться, то рано или поздно полиция озлобленных на Google стран придёт в Google и заявит, что в утечках через разнообразные там Meitu и Flash Keyboard виноваты… владельцы магазина. Так как они де-юре и де-факто никаким образом не требовали разработчиков объясняться о целях доступа к личной информации абонентов. Даже, скорее, наоборот. Каждое приложение достоверно не проверишь, но каждое приложение, собирающее 50 миллионов жертв или попадающее в новости, можно легко проверить раз двадцать, даже со скромными ресурсами Google. Но их никто не проверял и об утечках жертвы узнавали из СМИ.

    P. S. Модное в моём маленьком городе приложение вызова такси (это не Uber, не Яндекс.Такси, а наоборот, локальный феномен) требует при установке предоставить ему доступ ко всему вообще. Не знаю, есть ли у него уже жертвы. Но весьма очевидно, что человек, получивший доступ на телефоны всех земляков в маленьком городе — это вовсе не начальник таксистов. Это демиург!

  • Ответить

    >тот же номер телефона оно видит по умолчанию и не спрашивает. Так ли это?
    Нет, не так. Говоря образно, данные в смартфоне лежат не в одном запертом ящике, а в комоде с множеством ящиков под разными замками.

  • Ответить

    > Но их никто не проверял и об утечках жертвы узнавали из СМИ.
    Насколько я понимаю, проверка прав доступа осуществляется автоматически, и они даже перечислены на странице приложении Google Play. Вопрос в том, что ты соглашаешься со всем этим списком прав автоматически, когда устанавливаешь приложение, без возможности запретить некоторые пункты, которые ты не хочешь раскрывать. Ну и в том, что никому было не интересно насколько эти разрешения действительно нужны приложению для работы.

  • Ответить

    Справедливости ради. В Android 6.0 сделано как у яблока, при установке пишется какие нужны права приложению (как было), а при попытке доступа выходит запрос на подтверждение прав, можно разрешить доступ или запретит.

  • Ответить
    ZayunyaTyan founder, the teplotrassa

    >локальный феномен) требует при установке предоставить ему доступ ко всему вообще.

    Ну что поделаешь, надо же им базу накапливать :) Так-то я их понимаю.

    >Справедливости ради. В Android 6.0 сделано как у яблока, при установке пишется какие нужны права приложению (как было)

    Ну наконец-то! :D Не то чтобы я прямо параноик, но всё же.

  • Ответить

    Не совсем так у старых приложений всё будет по старому

    If the device is running Android 5.1 or lower, or **your app’s target SDK is 22** or lower: If you list a dangerous permission in your manifest, the user has to grant the permission when they install the app; if they do not grant the permission, the system does not install the app at all.

    Но их можно будет потом, когда уже может быть поздно, отобрать

    Note: Beginning with Android 6.0 (API level 23), users can revoke permissions from any app at any time, even if the app targets a lower API level. You should test your app to verify that it behaves properly when it’s missing a needed permission, regardless of what API level your app targets.

    Однако, даже разрешение пользователем отдельных permissionов, не спасает запросил один раз по законному случаю — пользуйся сколько хочешь. Или можно создавать приложения двойного назначения по типу «клавиатура смайликов» и «keylogger» в одном.

    Это в общем-то общая беда privacy в эпоху интернет. Есть множество желающих и имеющих средства это privacy нарушить. Но нет ни одного игрока предлагающего это privacy сохранять.

    Ну и мало кто из нормальных людей будет в эти запросы permissionов вчитываться. Будут поскорее нажимать allow, чтобы вернуться к надоям поросят. А так да, гики в безопасности.

  • Ответить

    То есть вот такой отправляешь сообщение в facebook или instagram, а тебе ответ — «твое местоположение, телефонная книжка, список SMS и мотоцикл», а иначе отправить нельзя. Где граница, когда ты скажешь нет не буду отправлять?