Меню
RU

Почему политики конфиденциальности Apple и Google неэффективны

Пользователю важно понимать, какие личные данные собирают приложения для iOS и Android и как эти данные используются. Apple и Google, как лидеры рынка, предъявляют к разработчикам приложений строгие и хорошо проработанные требования с точки зрения privacy protection (с англ. «защита личных данных»). Однако инцидентов с утечками персональных данных не становится меньше. Можно с уверенностью утверждать, что контроль за privacy только силами корпораций сегодня невозможен. Но корпорации не только продолжают игнорировать инциденты, но и не позволяют сторонним разработчикам дать пользователям инструменты контроля.

В чем проблема жесткого контроля Apple

С точки зрения защиты конфиденциальности, политика Apple хорошо прописана, и большого расхождения между декларируемым и реальным подходом нет. Apple накладывает на приложения достаточно жёсткие ограничения на получение информации о пользователе.

По сути, Apple привязывает разработчиков iOS-приложений к единственному способу отслеживания пользователя, Advertising ID, над которым у самого пользователя есть контроль. В политике Apple чётко прописано, что ничего другого в отношении данных пользователя нельзя использовать для трекинга. Все крупные аналитические системы вынуждены подчиняться этому правилу. Также на некоторые типы приложений накладываются дополнительные ограничения на то, что можно, а что нельзя собирать о пользователе.

Можно ли незаметно нарушить эти правила? Да можно, и, к сожалению, громких примеров предостаточно. Недавно было обнаружено, что Sensor Tower, популярная аналитическая платформа для разработчиков технологий и инвесторов, тайно собирает данные от миллионов людей, которые установили популярные приложения для VPN и блокировки рекламы для Android и iOS. По данным BlackBerry, сотни приложений обошли меры безопасности Apple и Google, но их поиск затруднён.

По большей части Apple действительно проверяет приложения на соответствие своей политике. Вот только политика Apple в области защиты частной информации остаётся избирательной. То есть, с одной стороны, разрешённые/запрещённые действия действительно описаны в гайдах, но нельзя быть уверенным, что кому-то не разрешено больше, чем другим.

Так, в 2018 году iOS-приложение Uber внезапно получило дополнительные права на доступ к записи пользовательского экрана. Что, согласитесь, является беспрецедентным шагом со стороны компании, занимающейся «вопросами безопасности». Частные API нельзя использовать в приложениях, которые отправляются в App Store. И API Uber, который технически мог позволить им записывать отображение устройства, было в итоге заблокировано.

Политика Аpple по отношению к частной информации ужесточается из года в год. Но трактовка правил в Apple имеет свойство со временем меняться. Примером может служить случай с AdGuard Pro, в результате чего нам даже пришлось временно приостановить разработку. Причина: внезапное изменение трактовки некоторых пунктов правил App Store.

У самих пользователей iOS-приложений нет никаких средств контроля за своими данными, и они просто вынуждены доверять разработчику приложения. А у Apple, в свою очередь, нет желания предоставлять инструменты защиты частной информации сторонним разработчикам. И вместо этого Apple достаточно сильно ограничивает функционал приложений.

Конечно, нам, как разработчику, было бы удобнее жить без ограничений на функционал. Мы предоставляем инструмент, которого нет у них, а они ограничивают нас в этом функционале и не всегда объясняют причину. Это не очень удобно, но, в отличие от Google, Apple готовы идти на контакт. Но тем не менее, наши приложения могли бы сделать гораздо больше, если бы нам не резали функциональность, а коммуникация с ревьюерами была менее бюрократизированной.

Проблема также в том, что ревьюеры Apple могут и не увидеть, что на самом деле приложение делает с персональными данными. Количество приложений Apple (как и их разработчиков) стремительно растёт, и в последние годы корпорации потребовалось увеличить штат ревьюеров. К сожалению, новые сотрудники не обладают должным опытом. Они могут не до конца понимать гайдлайны и трактовать правила по-своему, и что самое неприятное — каждый раз по разному. В результате, с ними бывает сложно договориться в том, что разрешено, а что нет. С другой стороны, они хотя бы подробно объясняют, в чём проблема. В отличие от Google, где часто приходится теряться в догадках, что имеется в виду под тем или иным требованием.

В заключение хочется сказать, что у Apple очень правильные гайды по защите частной информации, они стараются применять их корректно, но при этом Apple также старается максимально держать под собственным контролем все вопросы^ касающиеся конфиденциальности. Они могут действовать довольно избирательно, что является проблемой. Но в целом, с точки зрения приватности, платформа iOS для пользователя — наиболее защищённая.

Дикий дикий Запад Google Play

Так сложилось, что приложения в Google Play абсолютно неуважительно относятся к персональным данным пользователя. Защита личных данных в приложениях для Android остаётся на удивление плохой, несмотря на большое количество громких инцидентов.
Ещё в 2018 году мы провели исследование и подтвердили, что приложения Android из ТОП-1000 могут, не уведомляя пользователя, извлекать адреса электронной почты, контакты и текстовые сообщения, передавать их третьим лицам, и от этого почти нет защиты. Особенно неприятно было видеть, что этим занимаются популярные приложения (10M+ скачиваний), отмеченные наградами, «Выбор редакции» Google Play и т.д.

Мы выяснили, что как минимум три приложения, разработанные китайской компанией GOMO, нарушают конфиденциальность пользователей и пытаются выманить как можно больше информации. Приложение GO SMS Pro может похвастаться более чем 100 миллионами установок в соответствии с Google Play. Сразу после установки приложения оно отправляет вашу электронную почту на домен goconfigsync.3g.cn прямо в URL запроса, используя обычный HTTP. Следовательно, ваша электронная почта не просто отправляется на их сервер, но также предоставляется всем промежуточным сторонним организациям.

Мы нашли ещё два приложения: Z Camera — Photo Editor, Beauty Selfie, Collage и S Photo Editor — Collage Maker, Photo Collage с более чем 100M установок в каждом. Оба приложения отправляют вашу электронную почту вместе с множеством другой информации на домен zcamera.lzt.goforandroid.com. По иронии судьбы, GOMO любит сосредоточиться на конфиденциальности в описании своих приложений.
По большому счёту, за 2 года ничего не изменилось. Практически каждую неделю появляются новости об инцидентах с приложениями из Google Play. В том числе нельзя быть полностью уверенными в том, что приложения по безопасности не занимаются несанкционированным трекингом. Возникает вопрос, почему такие случаи остаются без внимания Google?

А пока ситуацию с конфиденциальностью в Play Store можно охарактеризовать как «Дикий дикий запад». Казалось бы, Google предъявляет к разработчикам мобильных приложений правильные требования, однако борьба за их соблюдение остаётся уделом «шерифов-одиночек».

Что мы имеем в итоге? Декларируемая политика Google в области защиты конфиденциальности информации мягче, чем у Apple. У Google нет, например, ограничений на идентификацию пользователя. Помимо этого, у них есть правильные ограничения на доступ к определённой информацией, например, к местоположению, дате и списке контактов. Согласно гайдам, запрашивать персональные данные у пользователя можно только в том случае, если приложение их действительно использует. А вот что запрещено:

«Приложения, которые крадут информацию об аутентификации пользователя (например, имена пользователей или пароли) или имитируют другие приложения или веб-сайты, чтобы обманом заставить пользователей раскрыть личную информацию или информацию об аутентификации».

Несмотря на правильные ограничения — не выполнять их, к сожалению, очень легко. Любой разработчик может проигнорировать требования, и этому есть десятки примеров. При этом, когда новые громкие случаи становятся публичными, Google может даже не обратить на это внимания. Как говорится, «когда продукт бесплатный — вы сами становитесь продуктом».

Потребности пользователей в защите данных вступают в противоречие с рекламной бизнес-моделью корпорации. И корпорациям совсем невыгодно убирать рекламу из своих закрытых платформ, вместо этого они её всячески защищают.

Если бы Google не ограничивал функционал сторонних приложений, ситуация могла бы не быть настолько удручающей. Чувствительная информация пользователей приложений Android так и остаётся незащищённой от неограниченного доступа третьих лиц. Google не берётся решать эту проблему, не даёт это делать сторонним разработчикам и нё берёт на себя ответственность за инциденты.

Постепенно Google заставляет разработчиков запрашивать у пользователя разрешение на те или иные данные, и это немного помогает с защитой privacy. В то же время они пытаются решить все проблемы, не привлекая «ручную силу», как, например, App Store, а это крайне неэффективный способ. По нашему мнению, идеальным решением будет, если Google возьмёт контроль над данными пользователей и даст самим пользователям контроль через сторонних разработчиков.

А пока Google старается автоматизировать все процессы взаимодействия с разработчиками, но в результате процедура взаимодействия остаётся предельно непрозрачной, неудобной и постоянно требующей пояснения.

Почему происходят инциденты?

К сожалению, политика Apple и Google на деле имеет мало общего с настоящей безопасностью и конфиденциальностью. Разработчикам решений privacy protection неудобно работать ни с Google, ни с Apple. Apple дают некоторые возможности, но в то же время зажимают ограничениями и избирательно подходят к разным компаниям. Google разрешает разработчикам делать что угодно, но только не на их платформе :)
Безусловно, впереди нас ждёт ещё множество инцидентов с утечками персональных данных, и по мере того, как темой защиты частной информации будут интересоваться всё больше пользователей, эта проблема станет решаться уже более активно.

Понравился пост?
25 768 25768 отзывов
Отлично!

AdGuard для Windows

AdGuard для Windows — это не просто «ещё один блокировщик». Это многоцелевой инструмент, который блокирует рекламу и доступ к опасным сайтам, ускоряет загрузку страниц и защищает детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 768 25768 отзывов
Отлично!

AdGuard для Mac

В отличие от других блокировщиков, AdGuard разработан с учётом специфики операционной системы macOS. Он не только блокирует рекламу в Safari и других браузерах, но и защищает вас от слежки, фишинга и мошенничества в сети.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 768 25768 отзывов
Отлично!

AdGuard для Android

AdGuard для Android — это идеальное решение для Android-устройств. В отличие от других блокировщиков, AdGuard не требует root-доступа и позволяет управлять трафиком любых приложений на вашем устройстве.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 768 25768 отзывов
Отлично!

AdGuard для iOS

Лучший блокировщик рекламы для iPhone и iPad. AdGuard устраняет рекламу в Safari, защищает ваши данные и ускоряет загрузку страниц. AdGuard для iOS использует новейшую технологию блокировки, которая обеспечивает непревзойденное качество фильтрации и позволяет применять множество различных фильтров одновременно
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 768 25768 отзывов
Отлично!

AdGuard Content Blocker

AdGuard Content Blocker устраняет все объявления в мобильных браузерах, которые поддерживают технологию блокировки контента — к примеру, Samsung Internet и Яндекс.Браузер. Он обладает меньшим количеством функций, чем AdGuard для Android, но при этом бесплатен, прост в установке и по-прежнему обеспечивает высокое качество блокировки рекламы.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 768 25768 отзывов
Отлично!

Браузерное расширение AdGuard

AdGuard — самое быстрое и легкое браузерное расширение для блокировки всех типов рекламы! Выбирайте AdGuard для быстрого и безопасного серфинга без рекламы.
25 768 25768 отзывов
Отлично!

Помощник AdGuard

Дополнительное браузерное расширение для десктопных приложений AdGuard. Даёт доступ к таким функциям в браузере, как блокировка отдельных элементов, занесение сайта в белый список или отправление отчёта.
25 768 25768 отзывов
Отлично!

AdGuard DNS

AdGuard DNS – это альтернативный способ заблокировать рекламу, защитить личные данные и оградить детей от взрослых материалов. Он прост в настройке и использовании и обеспечивает необходимый минимум защиты от рекламы, трекинга и фишинга, независимо от платформы.
25 768 25768 отзывов
Отлично!

AdGuard Home

AdGuard Home — мощный сетевой инструмент против рекламы и трекинга. С усилением роли интернета вещей становится все более и более важным управлять всей вашей сетью. После настройки AdGuard Home будет охватывать ВСЕ ваши домашние устройства и для этого вам не понадобится программное обеспечение на стороне клиента.
25 768 25768 отзывов
Отлично!

AdGuard Pro для iOS

AdGuard Pro предлагает гораздо больше чем просто блокировку рекламы в Safari, которая есть в обычной версии. С помощью специальных настроек DNS вы сможете блокировать больше рекламы, защитить ваши личные данные и оградить детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 768 25768 отзывов
Отлично!

AdGuard для Safari

Расширения, блокирующие рекламу в Safari, переживают не лучшие времена с тех пор, как компания Apple вынудила всех использовать новый SDK. Познакомьтесь с нашим легко настраиваемым и молниеносным приложением!
25 768 25768 отзывов
Отлично!

AdGuard Temp Mail

Ваш временный почтовый ящик, чтобы на основную почту не приходил спам
25 768 25768 отзывов
Отлично!

AdGuard для Android TV

AdGuard для Android TV — единственное приложение, которое блокирует рекламу, защищает ваши данные и действует как фаервол для Smart TV. Получайте предупреждения о веб-угрозах, используйте безопасный DNS, а ваш трафик будет зашифрован. Смотрите любимые сериалы безопасно и без рекламы!
Загрузка AdGuard началась Стрелка указывает на файл: нажмите на него, и установка начнётся Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне перетащите значок AdGuard в папку «Приложения». Спасибо за выбор AdGuard! Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне нажмите «Установить». Спасибо за выбор AdGuard!
AdGuard есть и в мобильном варианте