| 7 сентября 2018 г. — 14:00 PT
Новое исследование, проведенное для 9to5Mac, утверждает, что более двух десятков приложений для iOS, включая приложения для прогноза погоды и фитнес-трекеры, содержат код, который тайно передает местоположение пользователя и другую информацию компаниям, занимающимся монетизацией данных. Эти приложения были доступны в App Store, несмотря на строгую политику Apple в отношении конфиденциальности и защиты данных клиентов. Пользователи могут предпринять шаги для минимизации утечки данных в эти компании, использующие приложения, или полностью отказаться от использования пострадавших приложений.
Согласно отчету GuardianApp от Sudo Security Group, проекту под руководством исследователя безопасности Уилла Страфака, несколько популярных приложений для iOS «использовались для тайного сбора точных историй местоположений с десятков миллионов мобильных устройств с использованием пакета кода, предоставленного компаниями, занимающимися монетизацией данных». В отчете по безопасности утверждается, что в некоторых случаях эти приложения использовались для постоянной отправки обновляемых GPS-координат компаниям, которые зарабатывают на приобретении и продаже данных клиентов.
iOS предоставляет пользователям детальный контроль над тем, какие приложения имеют доступ к данным о местоположении, но пострадавшие приложения, включенные в отчет по безопасности, используют местоположение для таких функций, как местные прогнозы погоды и точное отслеживание фитнес-активности. Пользователи должны обоснованно ожидать предоставления этим приложениям доступа к местоположению без того, чтобы компании, занимающиеся монетизацией данных, получали общие данные.
Чтобы получить первоначальный доступ к точным данным с GPS-сенсоров мобильного устройства, приложения обычно представляют правдоподобное обоснование, связанное с приложением, в диалоговом окне разрешений «Службы геолокации», часто с минимальным или полным отсутствием упоминания того, что данные о местоположении будут передаваться третьим сторонам для целей, не связанных с работой приложения.
Все компании, занимающиеся монетизацией данных о местоположении, перечисленные на этой странице, собирают один или несколько из следующих пунктов данных:
- Данные Bluetooth LE Beacon
- GPS-долгота и широта
- Wi-Fi SSID (название сети) и BSSID (MAC-адрес сети)
Кроме того, некоторые компании также собирают следующие типы менее конфиденциальной информации об устройстве:
- Информация акселерометра (оси X, Y, Z)
- Рекламный идентификатор (IDFA)
- Процент заряда батареи и статус (батарея или USB-зарядное устройство)
- MCC/MNC сотовой сети
- Название сотовой сети
- Высота и/или скорость GPS
- Временные метки прибытия/отбытия в локацию
К приложениям, содержащим отслеживающий код согласно отчету по безопасности, относятся 24 известных приложения, таких как GasBuddy, MyRadar NOAA и PayByPhone Parking, а также приложение для отслеживания бега C25K 5K Trainer. Каждое из пострадавших приложений доступно в App Store и имеет тысячи оценок пользователей, свидетельствующих об их популярности.
Исследование GaurdianApp указывает на 12 компаний, занимающихся монетизацией данных, которые собирают данные пользователей, включая RevealMobile, которая ранее обвинялась в избыточном сборе данных о местоположении через популярные погодные приложения. Отчет добавляет, что почти 100 региональных новостных приложений ранее использовали код от RevealMobile, который передавал информацию компании, занимающейся монетизацией данных.
Со стороны Apple, App Store имеет политику, которая активно применялась для предотвращения обмана пользователей приложениями при предоставлении доступа к данным о местоположении с целью передачи их третьим сторонам.
Правовые нормы – 5.1.1 и 5.1.2
Приложение передает данные о местоположении пользователя третьим сторонам без явного согласия пользователя и для неутвержденных целей.
Пока пользователи могут либо избегать приложений, которые могут использовать данные клиентов в недобросовестных целях, либо использовать встроенные инструменты Apple для управления тем, какие приложения имеют доступ к данным о местоположении. Отчет GuardianApp предлагает следующие шаги для возможной минимизации обмена данными пользователей с третьими сторонами:
- Перейдите в «Настройки» > «Конфиденциальность» > «Реклама» и включите «Ограничить отслеживание рекламы», чтобы
- затруднить уникальную идентификацию вашего устройства iOS для отслеживания местоположения.
- Нажмите «Не разрешать», если в диалоговом окне разрешений «Службы геолокации» содержится текст «Посмотреть политику конфиденциальности» или аналогичный.
- Используйте очень общее имя для SSID вашего домашнего Wi-Fi маршрутизатора (например, «home-wifi-1»).
- Отключите функцию Bluetooth, когда она не используется.
Apple не ответила на запрос о комментарии по поводу нового исследовательского отчета. Полный отчет GuardianApp по безопасности можно прочитать на GuardianApp.com.
Подпишитесь на YouTube-канал 9to5Mac для получения дополнительных новостей об Apple: