Исследование, которое мы и наши коллеги проводим, определяет и исследует значительную угрозу, что большинство людей отсутствует: больше чем 70 процентов приложений для смартфона сообщают о персональных данных сторонним компаниям по отслеживанию как Google Analytics, Graph API Facebook или Crashlytics.Когда люди устанавливают новый Android или приложение для iOS, спрашивает это user’ s разрешение прежде, чем получить доступ к личной информации. Вообще говоря, это положительно.
И часть информации, которую собирают эти приложения, необходима для них, чтобы работать правильно: приложение карты wouldn’ t быть почти как полезный, если это couldn’ t используют данные о GPS, чтобы получить местоположение.Но как только у приложения есть разрешение собрать ту информацию, это может разделить Ваши данные с любым app’ s разработчик хочет к – разрешение стороннему следу компаний, где Вы, как быстро you’ перемещение ре и что you’ выполнение ре.Помощь и опасность, кодовых библиотекПриложение doesn’ t просто собирают данные, чтобы использовать по телефону себя.
Отображение приложений, например, посылает Ваше местоположение в сервер, которым управляет app’ s разработчик, чтобы вычислить направления от того, где Вы к желаемому месту назначения.Приложение может послать данные в другое место, также. Как с веб-сайтами, много мобильных приложений написаны, объединив различные функции, предварительно закодированные другими разработчиками и компаниями, в том, что называют сторонними библиотеками. Эти библиотеки помогают разработчикам отследить пользовательское обязательство, соединиться с социальными сетями и заработать деньги, показывая объявления и другие особенности, не имея необходимость писать им с нуля.
Однако в дополнение к их ценной помощи, большинство библиотек также собирает конфиденциальные данные и посылает его в их серверы онлайн – или в другую компанию в целом. Успешные авторы библиотеки могут быть в состоянии развивать подробные цифровые профили пользователей. Например, человек мог бы дать одно разрешение приложения знать их местоположение и другой доступ приложения к их контактам. Это первоначально отдельные разрешения, одно к каждому приложению.
Но если оба приложения пользовались той же самой сторонней библиотекой и разделили различные сведения, library’ s разработчик мог соединить части.Пользователи никогда не знали бы, потому что приложения – not’ t требуемый сказать пользователям, какими библиотеками программного обеспечения они пользуются. И только очень немного приложений обнародовали свою политику в отношении пользовательской частной жизни; если они делают, it’ s обычно в длинных юридических документах обычный человек won’ t прочитанный, намного меньше поймите.
Развитие люменаНаше исследование стремится показать, насколько данные потенциально собираются без users’ знание, и дать пользователям больше контроля над их данными. Получить картину того, какие данные собираются и передаются от people’ s смартфоны, мы разработали бесплатное собственное приложение для Android, названный Монитором Частной жизни Люмена.
Это анализирует транспортные приложения, отсылают, чтобы сообщить, какие заявления и онлайн-сервисы активно получают персональные данные.Поскольку Лумен о прозрачности, телефонный пользователь видит, что установленные приложения информации собираются в режиме реального времени и с кем они делят эти данные.
Мы пытаемся показать детали apps’ скрытое поведение легким для понимания способом. It’ s об исследовании, также, таким образом, мы спрашиваем пользователей если they’ ll позволяют нам собирать некоторые данные о том, что Лумен замечает, что их приложения делают – но это doesn’ t включают любые личные или конфиденциальные данные частной жизни. Этот уникальный доступ к данным позволяет нам учиться, как мобильные приложения собирают users’ персональные данные и с кем они обмениваются данными на беспрецедентном уровне.В частности, Лумен отслеживает, которых приложения работают на users’ устройства, посылают ли они конфиденциальные данные частной жизни из телефона, какие сайты они посылают данным в, сетевой протокол, который они используют и что типы личной информации каждое приложение посылают на каждое место.
Лумен анализирует движение приложений в местном масштабе на устройстве и анонимизирует эти данные прежде, чем послать их нам для исследования: Если Google Maps регистрирует user’ s местоположение GPS и посылает то определенное обращение к maps.google.com, Лумен говорит нам, “ Google Maps получил местоположение GPS и послал его в карты google.com” – не, где тот человек на самом деле.Шпионы везде
Больше чем 1 600 человек, которые использовали Люмен с октября 2015, позволили нам анализировать больше чем 5 000 приложений. Мы обнаружили 598 сайтов, вероятно, чтобы следить за пользователями в рекламных целях, включая социальные сервисы как Facebook, крупные интернет-компании как Google и Yahoo, и компании по онлайн-маркетингу под защитой поставщиков интернет-услуг как Verizon Wireless.
Мы нашли, что больше чем 70 процентов приложений учились связанный по крайней мере с одним шпионом, и 15 процентов из них связанный с пятью или больше шпионами. Один в каждых четырех шпионах получил по крайней мере один уникальный идентификатор устройства, такой как номер телефона или его определенное для устройства уникальное число IMEI с 15 цифрами. Уникальные идентификаторы крайне важны для услуг по отслеживанию онлайн, потому что они могут соединить различные типы персональных данных, предоставленных различными приложениями единственному человеку или устройству. Большинство пользователей, даже опытные частной жизнью, не знает о тех скрытых методах.
Больше, чем просто мобильная проблемаОтслеживание пользователей на их мобильных устройствах является просто частью большей проблемы.
Больше чем половина шпионов приложения мы опознали также пользователей следа через веб-сайты. Благодаря этой технике, названной “ cross-device” отслеживая, эти услуги могут построить, намного больше заполняют профиль Вашей персоны онлайн.
И отдельные места отслеживания не обязательно независимы от других. Некоторые из них принадлежат тому же самому корпоративному предприятию – и другие могли быть проглочены в будущих слияниях.
Например, Алфавит, Google’ s компания-учредитель, владеет несколькими из областей отслеживания, которые мы изучили, включая Google Analytics, DoubleClick или AdMob, и через них собирают данные больше чем из 48 процентов приложений, которые мы изучили.Users’ тождества онлайн не защищены их домом country’ s законы. Мы нашли данные, отправляемые через национальные границы, часто оказываясь в странах с сомнительными законами о частной жизни. Больше чем 60 процентов связей с отслеживанием мест сделаны к серверам в США, Великобритании, Франции, Сингапуре, Китае и Южной Корее – шесть стран, которые развернули массовые технологии наблюдения.
У правительственных учреждений в тех местах мог потенциально быть доступ к этим данным, даже если пользователи находятся в странах с более сильными законами о частной жизни, такими как Германия, Швейцария или Испания.Еще более волнующе мы наблюдали шпионов в приложениях, предназначенных детям. Проверяя 111 kids’ приложения в нашей лаборатории, мы заметили, что 11 из них пропустили уникальный идентификатор, Мак адрес, маршрутизатора Wi-Fi, с которым это было связано. Это – проблема, потому что легко искать онлайн физические местоположения, связанные с конкретными Мак адресами.
Сбор частной информации о детях, включая их местоположение, счета и другие уникальные идентификаторы, потенциально нарушает федеральную Торговлю Commission’ s правила, защищающие children’ s частная жизнь.Просто небольшой взглядХотя наши данные включают многие самые популярные приложения для Android, это – небольшая выборка пользователей и приложений, и поэтому вероятно, маленькой компании всех возможных шпионов. Наши результаты могут просто царапать поверхность того, что, вероятно, будет намного большей проблемой, которая охватывает через регулирующую юрисдикцию, устройства и платформы.
It’ s трудно, чтобы знать то, что пользователи могли бы сделать об этом. Блокирование конфиденциальной информации от отъезда телефона может ослабить работу приложения или пользовательский опыт: приложение может отказаться функционировать, если оно не может загрузить объявления. На самом деле блокирование объявлений причиняет разработчикам приложений боль, отказывая им в источнике дохода, чтобы поддержать их работу над приложениями, которые являются обычно бесплатными пользователям.Если люди были более готовы заплатить разработчикам за приложения, которые могут помочь, хотя it’ s не полное решение.
Мы нашли, что, в то время как заплаченный приложения имеют тенденцию связываться с меньшим количеством мест отслеживания, они все еще следят за пользователями и соединяются со сторонними услугами по отслеживанию.Прозрачность, образование и сильные нормативные базы – ключ. Пользователи должны знать, какая информация о них собирается, кого, и что it’ s используемый для. Только тогда можем мы, поскольку общество решает, какие меры защиты частной жизни соответствующие, и кладут на место их.
Наши результаты и те из многих других исследователей, могут помочь взять реванш и следить за самими шпионами.