Мобильные приложения постоянно передают данные сторонним сервисам, этим фактом уже сложно кого-то удивить. Но куда конкретно уходят данные? Команда исследователей из Массачусетского технологического института и компании UWin Software изучила 500 наиболее популярных приложений для Android.
Ранее на страницах ресурса Technology Science уже было опубликовано исследование, озаглавленное «Кто и что обо мне знает? Изучаем скрытый обмен приватными данными, производимый мобильными приложениями с третьими сторонами». Тогда исследователи проследили за активностью 110 популярных приложений из Google Play и Apple App Store.
Команда МТИ сосредоточилась только на приложениях из Google Play и скрытом трафике, которые они генерируют. Выяснилось, что лишь половину этих «тайных» коммуникаций можно отнести к стандартным пакетам Android analytics, другая половина трафика уходит в неясном направлении, и зачастую даже не совсем понятно, зачем нужен тот или иной канал связи, так как на работу приложения он не влияет. К примеру, официальное приложение Walmart передает данные eBay каждый раз, когда пользователь сканирует штрихкод. Разрыв этого соединения ни на что не влияет.
Более двух третей всех изученных приложений используют компонент com.google, который генерирует порядка 2000 запросов, покрывая почти половину всех скрытых коммуникаций.
Эксперты провели эксперимент и вообще запретили 47 приложениям общаться с третьими сторонами. 30 из этих модифицированных приложений продолжили работать как ни в чем не бывало. Еще девять лишились рекламы, но в целом функционировали. В трех случаях программы демонстрировали небольшие сбои в работе. Так, популярное приложение-фонарик, которое предлагает пользователям платный апгрейд, лишилось иконки на экране апгрейда.
Еще пять приложений полностью перестали работать. Как минимум в одном случае проблема крылась в защите, которую разработчики встроили в приложение, чтобы защитить свой проприетарный код. Почему отказали оставшиеся четыре программы – неясно.
«Аналитические сервисы собирают информацию о производительности приложения, аварийных завершениях работы, рабочих характеристиках устройств, а также наблюдают за действиями пользователя, во время работы с приложением. Хотя эта информация имеет явную ценность для разработчиков, пользователь не найдет нигде описания целей и частоты сбора этих данных.
По сути, некоторые приложения начинают собирать данные еще до фактической активации. К примеру, Twitter, Walmart и Pandora начинают сбор данных сразу же, как только устройство включается, и продолжают периодически выходить на связь, пока устройство остается включенным. Само приложение при этом может вообще не использоваться ни разу. В большинстве случаев пользователь никак не может прекратить подобный сбор данных, не удалив приложение», — пишут исследователи в докладе.
Команда экспертов подчеркивает, что они не призывают немедленно избавиться от всех этих каналов передачи данных, запретив все оптом. Просто исследователи полагают, что пользователи имеют право знать о происходящем, а также должны иметь возможность отказаться от сбора информации.
Ознакомиться с полной версией доклада команды можно на сайте DSpace@MIT.
Фото: Family O'Abé
