Что произошло?
Автономная некоммерческая организация «Инфокультура» составила список государственных мобильных приложений, которые передают данные пользователей третьим лицам, сообщил РБК.
- «Инфокультура» выбрала для анализа приложения, разработанные для мобильной операционной системы Android, поскольку эта платформа имеет самую высокую долю на мировом рынке.
- Большинство государственных мобильных приложений, к которым относятся «Госуслуги Москвы» и «Активный гражданин», имеют хотя бы один встроенный трекер – это сервис, который используется для отслеживания действий пользователей и информации о них. Он передает эти данные другим компаниям, чаще всего в рекламных целях.
- Большая часть трекеров, используемых в госприложениях, принадлежит компаниям юрисдикции США (86%), а одно из приложений – «Услуги РТ» – использует трекер организации в юрисдикции Японии.
- Чаще всего в госприложениях используются трекеры Google, Facebook и Microsoft.
- Все 44 изученных приложения запрашивают как минимум одно разрешение, которое Google относит к небезопасным. Например, доступ к камере или к телефонным звонкам.
- Среди 44 госприложений 16 сделаны по заказу правительства Москвы, 4 –разработаны для Минцифры, 6 – для Федеральной налоговой службы. Отдельные приложения созданы для Роструда, Минздрава, Росалкогольрегулирования, МВД, Федерального казначейства. Несколько приложений принадлежат региональным органам власти.
- 5 из 44 приложений не имеют ни одного встроенного трекера – это ЕГР ЗАГС, «Госуслуги.Дороги», «Липецкая область», HISTARS, «Работа в России».
Что это значит?
Трекеры, или программы слежения, представляют угрозу в нескольких случаях. Во-первых, если они используют при передаче данных незашифрованный канал. В таком случае провайдер или сторонние лица могут получить доступ к данным пользователя – местонахождению или сетевому MAC-адресу устройства. Это означает, например, что правоохранительные органы при помощи госприложения смогут отследить человека в любой доступной им публичной сети.
Во-вторых, серьезной угрозой безопасности является наличие рекламных трекеров. Они помогают таким крупным корпорациям, как Google и Facebook распознавать аккаунт пользователя в любых приложениях, чтобы показать ему наиболее подходящую рекламу. Подобные персональные данные хорошо продаются и монетизируются. Но несмотря на то, что информацию о пользователях обычно собирают на законных основаниях, трекеры могут использовать и киберпреступники, которые затем продают персональных данные на черном рынке.
Какие данные можно украсть с помощью трекера?
- открываемые страницы сайтов
- ввод персональных данных, логинов и паролей
- системную информацию, данные об аппаратном обеспечении
- запускаемые приложения
- переписку, звонки и видеозвонки в мессенджерах
- GPS-координаты мобильных устройств.