Европа пошла войной на техногигантов, голосовые ассистенты опять подставляют пользователей: дайджест AdGuard

Старушка Европа, похоже, всерьёз ополчилась на прекрасный мир новых технологий и работы с персональными данными. Регуляторы Евросоюза осознали необходимость упразднить пакт о трансатлантической передаче данных (известный как "Щит конфиденциальности", Privacy Shield) и принять новый закон, не позволяющий Google, Facebook и другим глобальным IT-компаниям отправлять данные европейцев в США и хранить их там.

Собственно, Privacy Shield был объявлен неактуальным ещё в 2020 году, но в Европе регуляторные процессы всегда шли неторопливо. Про Privacy Shield вспомнили после недавнего годового финансового отчёта Meta. Она упомянула его в отчёте для инвесторов как потенциальный риск и возможную причину "невозможности предлагать несколько ключевых продуктов и сервисов, включая Facebook и Instagram, в Европе".

Западная пресса наполнилась заголовками вида "Meta угрожает оставить Европу без Facebook и Instagram". Министр экономики Германии Роберт Хабек ответил на этот медиашторм заверениями, что европейцы будут жить счастливо и без этих сервисов: "После того, как мои аккаунты в них взломали, я 4 года обходился без Facebook и Twitter, и мне было фантастически хорошо". Его поддержал министр финансов Франции: "Нам будет вполне хорошо без Facebook", "Цифровые гиганты должны понимать, что Европа будет сопротивляться и отстаивать свой суверенитет". Из стана Facebook тут же поступило заявление, что никуда они уходить не хотят, а очень хотят договариваться.

Против Google, тем временем, уже приняты реальные и серьёзные меры. Ещё в январе австрийский регулятор в области защиты персональных данных запретил установку аналитической системы Google Analytics на обслуживаюищх европейцев сайтах за несоответствие нормам GDPR. Голландия анонсировала запрет Google Analytics ещё раньше Австрии, а Франция — на две недели позже. Эксперты предполагают, что регуляторы других стран тоже поддержат эту инициативу.

Можно надеяться, что в других регионах вдохновятся примером Европы и присмотрятся к тому, как обращаются транснациональные цифровые корпорации с данными их граждан. В России законодательство о хранении и обработке персональных данных россиян на территории страны работает с 2015 года.

У компании-перфекциониста опять нелепые баги

Техногиганты очень любят объяснять многие проблемы случайно возникшими ошибками, а пользователям остаётся только гадать, действительно ли был баг, или это была нехорошая фича, которую случайно разоблачили.

Вот и теперь: при обновлении айфона до iOS 15.4 пользователя спрашивали, хотел ли бы он помочь улучшить Siri и функции диктовки, позволив Apple записывать и анализировать голосовые команды. Причём даже в случае отрицательного ответа некоторых "отказников" всё равно записывали. Мы, кстати, уже не раз упоминали исследование о том, насколько часто голосовые ассистенты реагируют на слова, которые только похожи на их голосовые команды, начинают слушать не подозревающих об этом хозяев и отправлять их разговоры на серверы для анализа "подрядчиками". Причём последние даже не работают в компании и не подчиняются более строгим для штатных сотрудников политикам работы с данными. Так что всегда не помешает взвесить и сравнить пользу от голосового ассистента и потенциальные риски, прежде чем делать его активным участником повседневного быта.

Кстати, голосовые ассистенты могут пойти дальше шалостей с персональными данными. Alexa от Amazon, например, предложила "челлендж" десятилетней девочке, практически рекомендовав ей сунуть пальцы в розетку: "Вставь зарядку телефона в розетку примерно до половины и прикоснись монеткой к оставшимся снаружи частям вилки". К счастью, девочка оказалась умнее умной цифровой тёти и рассказала о её советах маме.

Apple, конечно, любит объяснять всё ошибками и случайностями. Например, рассеянные сотрудники то и дело забывают прототипы новых устройств в барах, просто эпидемия какая-то. Но иногда компания внезапно признаёт "фичей" то, что мы бы на их месте стыдливо назвали "багом": недавно выяснилось, что при увольнении у сотрудников Apple самых разных уровней и специализаций название должности автоматически меняется на "associate", то есть младшего помощника, низшую ступень эволюции работника. В таком виде информация о сотруднике отправляется в общую базу данных компаний, по которой потенциального коллегу будут "пробивать" при найме к другому работодателю. Если Apple так относится к собственным сотрудникам, стоит ли ожидать от неё особенного уважения к потребителям?

Если уж придётся видеть рекламу, пусть будет реалистичной,...

…подумали в парламенте Израиля и решили начать с малых мер борьбу со знаменитой манипулятивностью и обманчивостью рекламы. Новый законопроект требует информировать аудиторию рекламы, если изображенных в креативе людей "подредактировали" Фотошопом или использовали профессиональных моделей. Нереалистичная красота провоцирует расстройства пищевого поведения у людей, которые пытаются достичь навязанных и малодостижимых идеалов внешности.

"Закон подлости" для мобильных приложений

Мы заметили: чем более соблазнительные и нестандартные функции предлагает приложение, тем выше риски его использования. Особенно если это какие-то "хакерские" функции: извлечение недоступной информации, слежка за другими пользователями и тому подобное. Исключения есть, но мало: такие приложения почему-то норовят воровать данные, открывать досуп к устройству посторонним, а то и что похуже.

Например, приложение WAMR, которое позволяет читать удалённые отправителем сообщения в WhatsApp, не в первый раз подверглось критике с рекомендациями не использовать его. Оно работает путём перехвата уведомлений о новых сообщениях: текст сообщения сохраняется из уведомления и доступен даже если автор сообщения решил его удалить. Надо ли говорить, какие риски несёт предоставление доступа к уведомлениям с текстом переписки стороннему приложению?

Подобные приложения сомнительны не только с точки зрения безопасности, но и этически. Вы бы наверняка предпочли, чтобы участник переписки с вами уважал ваше решение удалить собственное сообщение и не пытался прочитать его "насильно"?

Смартфон можно отследить даже по обоям

Даже когда техногиганты не планируют злостно попрать пользовательскую приватность, а честно хотят внедрить симпатичную фичу, они могут создать дырку в безопасности на ровном месте. А те, кто готов ей воспользоваться, всегда сидят в засаде в ближайших кустах и шанса не упустят.

Ну, например, обои — что может быть безобиднее картинки на фоне? Однако обои могут использоваться для отслеживания Android-устройств с помощью фингерпринтинга (создания уникального цифрового "отпечатка" устройства как набора и сочетания свойственных только ему черт). Дизайн-концепция Material You, появившаяся в 12-й версии Android, подразумевает генерацию уникального описания цветового профиля картинки. Созданная цветовая схема обоев позволяет настроить под эти цвета весь интерфейс устройства и сделать так, чтобы он гармонировал с обоями.

В Material You предусмотрена опция стягивания системных обоев в виде ресурсов-изображений. Затем эти массивы байтов могут быть использованы для восстановления оригинальных изображений, из которых эти обои были взяты. А они часто содержат персональные данные или чувствительную информацию, представляющую ценность для пользователя.

Чтобы предотвратить трекинг с помощью обоев, придётся воздержаться от использования самостоятельно загруженных картинок, особенно редких, уникальных, приватных, или собственноручно сделанных фото, использовать предустановленные на устройстве обои, а в идеале ещё и пореже их менять.

Чем пароль отличается от глаза?

Правильно, пароль поменять можно в любой момент, а глаз с вами на всю жизнь (если повезёт). Именно поэтому мы призываем максимально осторожно относиться к биометрической идентификации: подавляющее большинство параметров тела не меняется всю жизнь. Алгоритмы смогут распознавать вас по лицу после того, как оно один раз попало в базу, даже если вы постареете или отрастите бороду. Отпечатки пальцев и сетчатки вообще не меняются. А биометрический профиль, учитывающий особенности телосложения, походки, почерка и голоса до конца ваших дней будет надёжнейшим способом распознать и узнать вас в самых разных обстоятельствах.

А что вы сейчас получаете в обмен на сданную биометрию? В лучшем случае, какие-то сервисы, без которых вполне можно комфортно жить, ну или ускоренные на несколько секунд процессы оплаты или логина.

Например, совершивший очередной пивот стартап MoviePass собирается использовать технологии распознавания лиц и отслеживания движения глаз в приложении на устройстве пользователя, чтобы убедиться, что он внимательно смотрит рекламу. За честные просмотры рекламы будет начисляться виртуальная валюта, за которую можно купить такую невероятную ценность, как билеты в кино.

Стоит ли говорить, что отслеживание движения глаз помогает получить огромное количество разнообразной информации об особенностях поведения пользователя. И, конечно, из этих данных собравшая их компания извлечёт максимум пользы (а также, как обычно, потеряет их и обнаружит продающимися в Даркнете). Зато пользователи получат билеты в кино.

Мы не сомневаемся, что наша аудитория понимает ценность персональных данных и потенциальные риски их неограниченного распространения. Но наша аудитория состоит в основном из продвинутых пользователей и IT-профессионалов, а они любят пробовать новые сервисы и технологии. Поиграться, потестировать… Не всегда оно того стоит, честное слово.