Почему политики конфиденциальности Apple и Google неэффективны
Пользователю важно понимать, какие личные данные собирают приложения для iOS и Android и как эти данные используются. Apple и Google, как лидеры рынка, предъявляют к разработчикам приложений строгие и хорошо проработанные требования с точки зрения privacy protection (с англ. «защита личных данных»). Однако инцидентов с утечками персональных данных не становится меньше. Можно с уверенностью утверждать, что контроль за privacy только силами корпораций сегодня невозможен. Но корпорации не только продолжают игнорировать инциденты, но и не позволяют сторонним разработчикам дать пользователям инструменты контроля.
В чем проблема жесткого контроля Apple
С точки зрения защиты конфиденциальности, политика Apple хорошо прописана, и большого расхождения между декларируемым и реальным подходом нет. Apple накладывает на приложения достаточно жёсткие ограничения на получение информации о пользователе.
По сути, Apple привязывает разработчиков iOS-приложений к единственному способу отслеживания пользователя, Advertising ID, над которым у самого пользователя есть контроль. В политике Apple чётко прописано, что ничего другого в отношении данных пользователя нельзя использовать для трекинга. Все крупные аналитические системы вынуждены подчиняться этому правилу. Также на некоторые типы приложений накладываются дополнительные ограничения на то, что можно, а что нельзя собирать о пользователе.
Можно ли незаметно нарушить эти правила? Да можно, и, к сожалению, громких примеров предостаточно. Недавно было обнаружено, что Sensor Tower, популярная аналитическая платформа для разработчиков технологий и инвесторов, тайно собирает данные от миллионов людей, которые установили популярные приложения для VPN и блокировки рекламы для Android и iOS. По данным BlackBerry, сотни приложений обошли меры безопасности Apple и Google, но их поиск затруднён.
По большей части Apple действительно проверяет приложения на соответствие своей политике. Вот только политика Apple в области защиты частной информации остаётся избирательной. То есть, с одной стороны, разрешённые/запрещённые действия действительно описаны в гайдах, но нельзя быть уверенным, что кому-то не разрешено больше, чем другим.
Так, в 2018 году iOS-приложение Uber внезапно получило дополнительные права на доступ к записи пользовательского экрана. Что, согласитесь, является беспрецедентным шагом со стороны компании, занимающейся «вопросами безопасности». Частные API нельзя использовать в приложениях, которые отправляются в App Store. И API Uber, который технически мог позволить им записывать отображение устройства, было в итоге заблокировано.
Политика Аpple по отношению к частной информации ужесточается из года в год. Но трактовка правил в Apple имеет свойство со временем меняться. Примером может служить случай с AdGuard Pro, в результате чего нам даже пришлось временно приостановить разработку. Причина: внезапное изменение трактовки некоторых пунктов правил App Store.
У самих пользователей iOS-приложений нет никаких средств контроля за своими данными, и они просто вынуждены доверять разработчику приложения. А у Apple, в свою очередь, нет желания предоставлять инструменты защиты частной информации сторонним разработчикам. И вместо этого Apple достаточно сильно ограничивает функционал приложений.
Конечно, нам, как разработчику, было бы удобнее жить без ограничений на функционал. Мы предоставляем инструмент, которого нет у них, а они ограничивают нас в этом функционале и не всегда объясняют причину. Это не очень удобно, но, в отличие от Google, Apple готовы идти на контакт. Но тем не менее, наши приложения могли бы сделать гораздо больше, если бы нам не резали функциональность, а коммуникация с ревьюерами была менее бюрократизированной.
Проблема также в том, что ревьюеры Apple могут и не увидеть, что на самом деле приложение делает с персональными данными. Количество приложений Apple (как и их разработчиков) стремительно растёт, и в последние годы корпорации потребовалось увеличить штат ревьюеров. К сожалению, новые сотрудники не обладают должным опытом. Они могут не до конца понимать гайдлайны и трактовать правила по-своему, и что самое неприятное — каждый раз по разному. В результате, с ними бывает сложно договориться в том, что разрешено, а что нет. С другой стороны, они хотя бы подробно объясняют, в чём проблема. В отличие от Google, где часто приходится теряться в догадках, что имеется в виду под тем или иным требованием.
В заключение хочется сказать, что у Apple очень правильные гайды по защите частной информации, они стараются применять их корректно, но при этом Apple также старается максимально держать под собственным контролем все вопросы^ касающиеся конфиденциальности. Они могут действовать довольно избирательно, что является проблемой. Но в целом, с точки зрения приватности, платформа iOS для пользователя — наиболее защищённая.
Дикий дикий Запад Google Play
Так сложилось, что приложения в Google Play абсолютно неуважительно относятся к персональным данным пользователя. Защита личных данных в приложениях для Android остаётся на удивление плохой, несмотря на большое количество громких инцидентов.
Ещё в 2018 году мы провели исследование и подтвердили, что приложения Android из ТОП-1000 могут, не уведомляя пользователя, извлекать адреса электронной почты, контакты и текстовые сообщения, передавать их третьим лицам, и от этого почти нет защиты. Особенно неприятно было видеть, что этим занимаются популярные приложения (10M+ скачиваний), отмеченные наградами, «Выбор редакции» Google Play и т.д.
Мы выяснили, что как минимум три приложения, разработанные китайской компанией GOMO, нарушают конфиденциальность пользователей и пытаются выманить как можно больше информации. Приложение GO SMS Pro может похвастаться более чем 100 миллионами установок в соответствии с Google Play. Сразу после установки приложения оно отправляет вашу электронную почту на домен goconfigsync.3g.cn прямо в URL запроса, используя обычный HTTP. Следовательно, ваша электронная почта не просто отправляется на их сервер, но также предоставляется всем промежуточным сторонним организациям.
Мы нашли ещё два приложения: Z Camera — Photo Editor, Beauty Selfie, Collage и S Photo Editor — Collage Maker, Photo Collage с более чем 100M установок в каждом. Оба приложения отправляют вашу электронную почту вместе с множеством другой информации на домен zcamera.lzt.goforandroid.com. По иронии судьбы, GOMO любит сосредоточиться на конфиденциальности в описании своих приложений.
По большому счёту, за 2 года ничего не изменилось. Практически каждую неделю появляются новости об инцидентах с приложениями из Google Play. В том числе нельзя быть полностью уверенными в том, что приложения по безопасности не занимаются несанкционированным трекингом. Возникает вопрос, почему такие случаи остаются без внимания Google?
А пока ситуацию с конфиденциальностью в Play Store можно охарактеризовать как «Дикий дикий запад». Казалось бы, Google предъявляет к разработчикам мобильных приложений правильные требования, однако борьба за их соблюдение остаётся уделом «шерифов-одиночек».
Что мы имеем в итоге? Декларируемая политика Google в области защиты конфиденциальности информации мягче, чем у Apple. У Google нет, например, ограничений на идентификацию пользователя. Помимо этого, у них есть правильные ограничения на доступ к определённой информацией, например, к местоположению, дате и списке контактов. Согласно гайдам, запрашивать персональные данные у пользователя можно только в том случае, если приложение их действительно использует. А вот что запрещено:
«Приложения, которые крадут информацию об аутентификации пользователя (например, имена пользователей или пароли) или имитируют другие приложения или веб-сайты, чтобы обманом заставить пользователей раскрыть личную информацию или информацию об аутентификации».
Несмотря на правильные ограничения — не выполнять их, к сожалению, очень легко. Любой разработчик может проигнорировать требования, и этому есть десятки примеров. При этом, когда новые громкие случаи становятся публичными, Google может даже не обратить на это внимания. Как говорится, «когда продукт бесплатный — вы сами становитесь продуктом».
Потребности пользователей в защите данных вступают в противоречие с рекламной бизнес-моделью корпорации. И корпорациям совсем невыгодно убирать рекламу из своих закрытых платформ, вместо этого они её всячески защищают.
Если бы Google не ограничивал функционал сторонних приложений, ситуация могла бы не быть настолько удручающей. Чувствительная информация пользователей приложений Android так и остаётся незащищённой от неограниченного доступа третьих лиц. Google не берётся решать эту проблему, не даёт это делать сторонним разработчикам и нё берёт на себя ответственность за инциденты.
Постепенно Google заставляет разработчиков запрашивать у пользователя разрешение на те или иные данные, и это немного помогает с защитой privacy. В то же время они пытаются решить все проблемы, не привлекая «ручную силу», как, например, App Store, а это крайне неэффективный способ. По нашему мнению, идеальным решением будет, если Google возьмёт контроль над данными пользователей и даст самим пользователям контроль через сторонних разработчиков.
А пока Google старается автоматизировать все процессы взаимодействия с разработчиками, но в результате процедура взаимодействия остаётся предельно непрозрачной, неудобной и постоянно требующей пояснения.
Почему происходят инциденты?
К сожалению, политика Apple и Google на деле имеет мало общего с настоящей безопасностью и конфиденциальностью. Разработчикам решений privacy protection неудобно работать ни с Google, ни с Apple. Apple дают некоторые возможности, но в то же время зажимают ограничениями и избирательно подходят к разным компаниям. Google разрешает разработчикам делать что угодно, но только не на их платформе :)
Безусловно, впереди нас ждёт ещё множество инцидентов с утечками персональных данных, и по мере того, как темой защиты частной информации будут интересоваться всё больше пользователей, эта проблема станет решаться уже более активно.