Медуза [1], Известия [2], РИА Новости [3] и другие издания пишут о экспертах МВД предлагающих создать мобильное приложение "Мигрант" и включить в него "рейтинг социального доверия". Иначе говоря, наработки приложений "Социальный мониторинг" и "Стопкоронавирус.РФ" МВД явно понравились и решили применить их на трудовых мигрантах.
К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.
Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?
[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html
#mobile #apps #privacy
К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.
Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?
[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html
#mobile #apps #privacy
Meduza
МВД предложило создать приложение «Мигрант», устанавливать которое обяжут всех приехавших на работу в Россию
Эксперты МВД предложили рассмотреть возможность создания мобильного приложения, устанавливать которое обяжут всех трудовых мигрантов, приезжающих в Россию. Соответствующее предложение, сообщает РИА Новости, содержится в прогнозе развития ситуации в миграционной…
Слишком часто меня в последнее время просят комментировать инициативы Минцифры. То же ожидаемое приложение "Стопкоронавирус - Контакты" [1]. А мне и прокомментировать, на самом деле, нечего комментировать пока оно не появится, а когда появится то желающих его разобрать по кусочкам и написать про то какое оно плохое или хорошее будет много.
Пока тезисами:
1. Существует список официальных приложений сделанных органами власти в разных странах на базе API уведомлений от Google и Apple [2]. Приложения появляются буквально каждую неделю их уже десятки
2. Из всех механизмов слежки и уведомлений - этот, пока, наиболее приватный.
3. Всё зависит от того как Минцифры сделают своё приложение, но им в любом случае надо провести его через ревью Google и Apple, то есть больше шансов на приватность.
4. Есть подробности о том как API будет работать [3], многое будет зависеть от пользователя который будет давать разрешение приложениям на доступ к информации.
Что вызывает куда большую тревогу у меня лично - это то с какой скоростью ДИТ Москвы (в лице ГКУ Информационный город) плодит мобильные приложения. Их уже 18 штук только в Google Play [4].
И там всё такое вкусное:
- Электронный дом Москва [5] для жителей многоквартирных домов
- Учет посещаемости [6] для выполнения учета посещаемости участников занятий, проводимых в рамках программы Московское Долголетие
и ещё много всего другого. Стоит посмотреть внимательнее.
Так что берегите себя и близких и не забывайте следить за правительством Москвы, потому что оно об этом никогда не забудет.
Ссылки:
[1] https://www.kommersant.ru/doc/4575726
[2] https://www.xda-developers.com/google-apple-covid-19-contact-tracing-exposure-notifications-api-app-list-countries/
[3] https://www.xda-developers.com/google-apple-contact-tracing-coronavirus/
[4] https://play.google.com/store/apps/developer?id=%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9+%D0%B3%D0%BE%D1%80%D0%BE%D0%B4+%D0%93%D0%9A%D0%A3
[5] https://play.google.com/store/apps/details?id=ru.mos.ed
[6] https://play.google.com/store/apps/details?id=com.dit.mosdollet
#apps #privacy #covid19 #security
Пока тезисами:
1. Существует список официальных приложений сделанных органами власти в разных странах на базе API уведомлений от Google и Apple [2]. Приложения появляются буквально каждую неделю их уже десятки
2. Из всех механизмов слежки и уведомлений - этот, пока, наиболее приватный.
3. Всё зависит от того как Минцифры сделают своё приложение, но им в любом случае надо провести его через ревью Google и Apple, то есть больше шансов на приватность.
4. Есть подробности о том как API будет работать [3], многое будет зависеть от пользователя который будет давать разрешение приложениям на доступ к информации.
Что вызывает куда большую тревогу у меня лично - это то с какой скоростью ДИТ Москвы (в лице ГКУ Информационный город) плодит мобильные приложения. Их уже 18 штук только в Google Play [4].
И там всё такое вкусное:
- Электронный дом Москва [5] для жителей многоквартирных домов
- Учет посещаемости [6] для выполнения учета посещаемости участников занятий, проводимых в рамках программы Московское Долголетие
и ещё много всего другого. Стоит посмотреть внимательнее.
Так что берегите себя и близких и не забывайте следить за правительством Москвы, потому что оно об этом никогда не забудет.
Ссылки:
[1] https://www.kommersant.ru/doc/4575726
[2] https://www.xda-developers.com/google-apple-covid-19-contact-tracing-exposure-notifications-api-app-list-countries/
[3] https://www.xda-developers.com/google-apple-contact-tracing-coronavirus/
[4] https://play.google.com/store/apps/developer?id=%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9+%D0%B3%D0%BE%D1%80%D0%BE%D0%B4+%D0%93%D0%9A%D0%A3
[5] https://play.google.com/store/apps/details?id=ru.mos.ed
[6] https://play.google.com/store/apps/details?id=com.dit.mosdollet
#apps #privacy #covid19 #security
Коммерсантъ
Приложение проследит за контактами COVID-19
Специалисты по безопасности данных усомнились в эффективности нового приложения по обнаружению больных коронавирусом. Программа, которую анонсировало Минцифры, должна отследить контакты с зараженными COVID-19 и предупредить пользователя о возможной инфекции.…
Правительство РФ утвердило список из 28 приложений обязательных к предустановке с 1 апреля 2021 года [1].
Список включает:
- 16 приложений для смартфонов из которых 16 для Android и 14 для iPhone
- 1 приложение для Windows - пакет МойОфис
- 11 приложений для "умных" телевизоров
На что стоит обратить внимание:
- 4 приложения Яндекса и 7 приложений от Mail.ru и компаний входящих в Mail.ru Group
- 2 госприложения от структур подчинённых федеральному правительству, для смартфонов: Госуслуги и AppList.ru. Для телевизоров приложения Wink от Ростелекома и Смотрим от ФГУП ВГТРК
- судя по описанию AppList.ru - это аггрегатор для доступа к социальным ресурсам, сервисное приложение, возможно аналог AppStore или Google Play, хотя и до конца непонятно, пока его нет в открытом доступе.
Что остаётся за кадром:
- В регулировании пока нет упоминания будут ли приложения неудаляемыми, а если будут удаляемыми, то можно ли это будет сделать одной кнопкой или потребуется удалять каждое
- Что, в итоге, с политикой Apple по поводу предустановки приложений. Это вопрос уже не регулирования, а готовности компании это регулирование выполнять и процедур выполнения.
- ничего нет про региональный контур, мобильные приложения имеющие привязку к субъектам федерации, то же Пр-во Москвы полным ходом разрабатывает свой набор мобильных приложений.
P.S.
Небольшое отступление
Не могу не отметить что до сих пор, несмотря на то что уже 2021 год, цифровизация и всё такое, документы Правительства сначала доступны сканами, и только через недели в виде текстов. На сайте Правительства документы публикуются с задержкой в 3 недели, последние публиковались 19 декабря, а в системе НПА Минюста России в 2 недели, последние документы публиковались 23 декабря. Только на publication.pravo.gov.ru они публикуются относительно оперативно, но исключительно в отсканированном виде с неприличным названием "документы для качественной печати". Очень хочется надеяться что так будет не всегда.
Ссылки:
[1] https://publication.pravo.gov.ru/Document/View/0001202101060012?index=0&rangeSize=1
#government #apps #regulation
Список включает:
- 16 приложений для смартфонов из которых 16 для Android и 14 для iPhone
- 1 приложение для Windows - пакет МойОфис
- 11 приложений для "умных" телевизоров
На что стоит обратить внимание:
- 4 приложения Яндекса и 7 приложений от Mail.ru и компаний входящих в Mail.ru Group
- 2 госприложения от структур подчинённых федеральному правительству, для смартфонов: Госуслуги и AppList.ru. Для телевизоров приложения Wink от Ростелекома и Смотрим от ФГУП ВГТРК
- судя по описанию AppList.ru - это аггрегатор для доступа к социальным ресурсам, сервисное приложение, возможно аналог AppStore или Google Play, хотя и до конца непонятно, пока его нет в открытом доступе.
Что остаётся за кадром:
- В регулировании пока нет упоминания будут ли приложения неудаляемыми, а если будут удаляемыми, то можно ли это будет сделать одной кнопкой или потребуется удалять каждое
- Что, в итоге, с политикой Apple по поводу предустановки приложений. Это вопрос уже не регулирования, а готовности компании это регулирование выполнять и процедур выполнения.
- ничего нет про региональный контур, мобильные приложения имеющие привязку к субъектам федерации, то же Пр-во Москвы полным ходом разрабатывает свой набор мобильных приложений.
P.S.
Небольшое отступление
Не могу не отметить что до сих пор, несмотря на то что уже 2021 год, цифровизация и всё такое, документы Правительства сначала доступны сканами, и только через недели в виде текстов. На сайте Правительства документы публикуются с задержкой в 3 недели, последние публиковались 19 декабря, а в системе НПА Минюста России в 2 недели, последние документы публиковались 23 декабря. Только на publication.pravo.gov.ru они публикуются относительно оперативно, но исключительно в отсканированном виде с неприличным названием "документы для качественной печати". Очень хочется надеяться что так будет не всегда.
Ссылки:
[1] https://publication.pravo.gov.ru/Document/View/0001202101060012?index=0&rangeSize=1
#government #apps #regulation
Знаете ли Вы что...
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])
Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет
Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics
и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.
Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?
Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app
#mobile #apps #covid19
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])
Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет
Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics
и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.
Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?
Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app
#mobile #apps #covid19
www.coronawarn.app
Open-Source Project Corona-Warn-App
The website of the open-source project for the Corona-Warn-App. The Corona-Warn-App is an app that helps trace infection chains of COVID-19 in Germany.
Появилось свежее приложение ФГИС Аршин для андроид [1] от ФГУП ВНИИМС (Всероссийский научно-исследовательский институт метрологической службы — головной институт в системе Федерального агентства по техническому регулированию и метрологии) .
В приложении 9 трекеров [2] включая Amplitude и Segment по профилированию пользователей на рынке adtech, а также оно запрашивает 47 разрешений на телефоне включая работу с календарём, доступ к контактам, микрофону и камере и доступ к точному местонахождению.
Если судить по названию то теперь во ФГИС нормально включать код передачи третьим сторонам и собирать данные о контактах пользователей?
Вроде Росстандарт не правоохранители, не спецслужба, и с COVID-19 не борется. Радует только то что там число установок всего 50+ и в списке обязательных к предустановке приложений его нет.
Зато политика конфиденциальности (ссылка из профиля в Google Play) [3] "зачётная". Помимо прямого обмана "Not third-party analytics" и "The data is not shared with third parties", оно ещё и юридически ничтожно.
Это всё к вопросу о том как создаются ФГИС в России. Вот так и создаются, на коленке, с передачей данных о пользователях 3-м сторонам, запредельным доступом к устройствам пользователей и весьма невысокой культурой разработки.
Ссылки:
[1] https://play.google.com/store/apps/details?id=com.vniims.arshin
[2] https://reports.exodus-privacy.eu.org/en/reports/166597/
[3] https://drive.google.com/file/d/1DIhOvJhsBEfQzLPWDePwKcU1EbGLioII/view
#government #apps #android
В приложении 9 трекеров [2] включая Amplitude и Segment по профилированию пользователей на рынке adtech, а также оно запрашивает 47 разрешений на телефоне включая работу с календарём, доступ к контактам, микрофону и камере и доступ к точному местонахождению.
Если судить по названию то теперь во ФГИС нормально включать код передачи третьим сторонам и собирать данные о контактах пользователей?
Вроде Росстандарт не правоохранители, не спецслужба, и с COVID-19 не борется. Радует только то что там число установок всего 50+ и в списке обязательных к предустановке приложений его нет.
Зато политика конфиденциальности (ссылка из профиля в Google Play) [3] "зачётная". Помимо прямого обмана "Not third-party analytics" и "The data is not shared with third parties", оно ещё и юридически ничтожно.
Это всё к вопросу о том как создаются ФГИС в России. Вот так и создаются, на коленке, с передачей данных о пользователях 3-м сторонам, запредельным доступом к устройствам пользователей и весьма невысокой культурой разработки.
Ссылки:
[1] https://play.google.com/store/apps/details?id=com.vniims.arshin
[2] https://reports.exodus-privacy.eu.org/en/reports/166597/
[3] https://drive.google.com/file/d/1DIhOvJhsBEfQzLPWDePwKcU1EbGLioII/view
#government #apps #android
Этот выпуск рассылки [5] я решил целиком и полностью посвятить совсем нешуточному регулированию о предустановке отечественного ПО, оно вступило в силу с 1-го апреля и уже начались публикации о том что производители предустанавливают приложения как неудаляемые (пример - Samsung) [1].
Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.
Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.
Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.
Подробности по каждому приложению в сегодняшней утренней рассылке [5].
P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.
А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.
Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15
#privacy #government #apps #mobile
Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.
Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.
Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.
Подробности по каждому приложению в сегодняшней утренней рассылке [5].
P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.
А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.
Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15
#privacy #government #apps #mobile
РБК
Samsung объяснила установку на смартфоны неудаляемых приложений «Яндекса»
В компании опасаются, что, предустановив некоторые приложения с возможностью их удалить, могли нарушить российское законодательство. Против установки неудаляемых приложений выступили в Минцифры, а
Продолжая тему про государственные информационные системы, мобильные приложения, передачу данных третьим сторонам. Рассмотрим одно мобильное приложение от Минцифры в подробностях.
Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].
Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?
К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.
—
А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.
Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/
#privacy #mobile #apps #digital
Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].
Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?
К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.
—
А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.
Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/
#privacy #mobile #apps #digital
Google Play
Лидеры цифрового развития - Apps on Google Play
Official App of the Digital Leaders Meeting
В Коммерсанте статья о том Минэкономразвития РФ раскритиковали текущую модель предустановки отечественного ПО [1] поскольку это создаёт дискриминационные условия другим российским разработчикам и, честно говоря, я с этим абсолютно согласен.
Честно говоря я считаю что единственно допустимые модели вмешательства государства тут только в двух возможных решениях:
1) Запрет на предустановку любого ПО и запрет на невозможность удаления любого ПО. Неважно западное это ПО или российское - любое ПО должно иметь возможность удаления, впрочем это и так реализуют или сделают крупнейшие апп сторы.
2) Создание каталога ПО по категориям с пометкой "Проверено Минцифрой". Если уж Минцифра берёт на себя ответственность за то что у нас стоит на телефонах и тд. то пусть и сделают каталог и по каждой категории несколько приложений разных игроков, а не только сверх-крупный-монопольный-бизнес.
Ссылки:
[1] https://www.kommersant.ru/doc/4858731
#mobile #apps #regulation
Честно говоря я считаю что единственно допустимые модели вмешательства государства тут только в двух возможных решениях:
1) Запрет на предустановку любого ПО и запрет на невозможность удаления любого ПО. Неважно западное это ПО или российское - любое ПО должно иметь возможность удаления, впрочем это и так реализуют или сделают крупнейшие апп сторы.
2) Создание каталога ПО по категориям с пометкой "Проверено Минцифрой". Если уж Минцифра берёт на себя ответственность за то что у нас стоит на телефонах и тд. то пусть и сделают каталог и по каждой категории несколько приложений разных игроков, а не только сверх-крупный-монопольный-бизнес.
Ссылки:
[1] https://www.kommersant.ru/doc/4858731
#mobile #apps #regulation
Коммерсантъ
Неприложный закон
Предустановка супераппов не понравилась Минэкономики
Обновлённый список отечественного ПО обязательного к предустановке от нашего Правительства в свежем постановлении [1]. Про предыдущий список я ранее писал в телеграм канале [2].
И в рассылке писал о том куда и как передают данные эти приложения [3].
Я по прежнему считаю предустановку ПО решению Правительства РФ/Минцифры РФ очень плохим решением. Вместо защиты прав граждан, исполнительная власть берет на себя ответственность за то как эти приложения за гражданами следят. Вместо ограничений на слежку, она поощряется.
Понятно что квалифицированные пользователи будут все эти приложения сразу же удалять, но таких меньшинство.
И я ведь регулярно говорил о том что все блокировки бесполезны пока государство не контролирует конечные устройства? Догадайтесь какое/какие приложения из этого списка будут использоваться в этих целях.
Ссылки:
[1] https://publication.pravo.gov.ru/Document/View/0001202108100022
[2] https://t.iss.one/begtin/2414
[3] https://begtin.substack.com/p/15
#privacy #apps #government
И в рассылке писал о том куда и как передают данные эти приложения [3].
Я по прежнему считаю предустановку ПО решению Правительства РФ/Минцифры РФ очень плохим решением. Вместо защиты прав граждан, исполнительная власть берет на себя ответственность за то как эти приложения за гражданами следят. Вместо ограничений на слежку, она поощряется.
Понятно что квалифицированные пользователи будут все эти приложения сразу же удалять, но таких меньшинство.
И я ведь регулярно говорил о том что все блокировки бесполезны пока государство не контролирует конечные устройства? Догадайтесь какое/какие приложения из этого списка будут использоваться в этих целях.
Ссылки:
[1] https://publication.pravo.gov.ru/Document/View/0001202108100022
[2] https://t.iss.one/begtin/2414
[3] https://begtin.substack.com/p/15
#privacy #apps #government
publication.pravo.gov.ru
Распоряжение Правительства Российской Федерации от 31.07.2021 № 2129-р ∙ Официальное опубликование правовых актов ∙ Официальный…
Кому поддержка отрасли, а кому +4 приложения для предустановки. Известия пишут [1] что речь идет о программе для чтения и прослушивания книг, онлайн-магазине, сервисе для музыки и радио, а также платформе для конференцсвязи.
Когда же этот горшочек перестанет варить? Как бы объяснить. Предустановка ПО - это не помощь бизнесу, а негативизация бренда. Очень скоро будут массовые общественные компании и приложения по сносу предустанавливаемых приложений.
Ссылки:
[1] https://iz.ru/1222343/2021-09-16/spisok-prilozhenii-dlia-obiazatelnoi-ustanovki-rasshiriat
#apps #regulation
Когда же этот горшочек перестанет варить? Как бы объяснить. Предустановка ПО - это не помощь бизнесу, а негативизация бренда. Очень скоро будут массовые общественные компании и приложения по сносу предустанавливаемых приложений.
Ссылки:
[1] https://iz.ru/1222343/2021-09-16/spisok-prilozhenii-dlia-obiazatelnoi-ustanovki-rasshiriat
#apps #regulation
Известия
Список приложений для обязательной установки расширят
Еще четыре приложения отечественных разработчиков могут стать обязательными для предустановки на электронику. Речь идет о программе для чтения и прослушивания книг, онлайн-магазине, сервисе для музыки и радио, а также платформе для конференцсвязи. Такие поправки…
Про новые мобильные приложения Минцифры, в версиях для Android, если без иронии и сжато.
Госуслуги.Авто [1]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* включают код для связи с серверами Российского союза автостраховщиков (РСА)
* включают код журналирования действий на сервера разработки РСА и их SDK
* содержит следы кода компании ЛАНИТ, возможно как чать SDK РСА
* содержит код трекеров Google Firebase Analytics, Google Crashlytics, Yandex AppMetrica
* запрашивает разрешение на звонки и доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: РСА, Google, Yandex
Госуслуги.Культура [2]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* наиболее вероятно разработано компанией Notamedia (есть метки в коде)
* приложение написано на языке Flutter, скомпилировано в нативный код в виде libapp.so. Как следствие не все активности выявляются статическим анализом
* обращается к серверу pushka.gosuslugi.ru, возможно к каким-то ещё, сложно выяснить статическим анализом
* содержит код трекера Mail.ru MyTracker
* запрашивает разрешение на запись аудио и на доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: Mail.ru
Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.gosuslugi.auto&gl=ru&hl=ru
[2] https://play.google.com/store/apps/details?id=ru.gosuslugi.culture&showAllReviews=true
#apps #privacy
Госуслуги.Авто [1]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* включают код для связи с серверами Российского союза автостраховщиков (РСА)
* включают код журналирования действий на сервера разработки РСА и их SDK
* содержит следы кода компании ЛАНИТ, возможно как чать SDK РСА
* содержит код трекеров Google Firebase Analytics, Google Crashlytics, Yandex AppMetrica
* запрашивает разрешение на звонки и доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: РСА, Google, Yandex
Госуслуги.Культура [2]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* наиболее вероятно разработано компанией Notamedia (есть метки в коде)
* приложение написано на языке Flutter, скомпилировано в нативный код в виде libapp.so. Как следствие не все активности выявляются статическим анализом
* обращается к серверу pushka.gosuslugi.ru, возможно к каким-то ещё, сложно выяснить статическим анализом
* содержит код трекера Mail.ru MyTracker
* запрашивает разрешение на запись аудио и на доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: Mail.ru
Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.gosuslugi.auto&gl=ru&hl=ru
[2] https://play.google.com/store/apps/details?id=ru.gosuslugi.culture&showAllReviews=true
#apps #privacy
Google Play
Приложения в Google Play – Госуслуги Авто
«Госуслуги Авто» — электронные документы и сервисы для автовладельцев
Для тех кто анализирует мобильные приложения, напомню про инструменты которые используются в этой задаче.
Инструменты анализа мобильных приложений (Android)
- Exodus Privacy [1] французская НКО создающая одноименную базу и инструменты сбора сведений о трекерах встраиваемых в мобильеные приложения. Их сервис и программы анализируют .dex файлы в .apk файлах для Android'а и выявляют сигнатуры кода относящегося к трекерам.
- AppCensus [2] стартап из кремниевой долины с фокусом на динамический анализ приложений. Приложения устанавливаются на реальное устройство и замеряется то к каким сервисам они обращаются и что передают
- Mobile Security Framework [3] продукт с открытым кодом для локальной проверки мобильных приложений для Android'а. Умеет декомпилировать, проводить анализ разрешений, компонентов, безопасности приложения. Интегрирован с Exodus Privacy и ещё много чего умеет
- ICSI Haystack Project [4] проект по мониторингу мобильных приложений с академическим уклоном от Data Transparency Lab. Включает много наборов данных и мобильное приложение Lumen для отслеживания того куда приложения обращаются.
Как бороться с мобильной слежкой ? С помощью приложений создающих VPN соединения блокирующие обращения к сайтам трекеров.
Приложения для блокировки
- Blockada [5] бесплатное приложение с открытым кодом и расширенными возможностями для тех кому нужен VPN как VPN, а не просто резка трекеров.
- NextDNS [6] коммерческий сервис DNS серверов с возможностью отслеживать и фильтровать запросы к DNS со стороны собственных устройств. Может как вести журнал и предоставлять его пользователю, так и наоборот обеспечивать анонимность. Режет большое число трекеров и подключает множество блоклистов. Работает не только с устройствами Android, но и со многими другими.
Ссылки:
[1] https://exodus-privacy.eu.org/
[2] https://appcensus.io
[3] https://github.com/MobSF
[4] https://www.haystack.mobi/
[5] https://blokada.org/
[6] https://nextdns.io
#privacy #mobileapps #apps
Инструменты анализа мобильных приложений (Android)
- Exodus Privacy [1] французская НКО создающая одноименную базу и инструменты сбора сведений о трекерах встраиваемых в мобильеные приложения. Их сервис и программы анализируют .dex файлы в .apk файлах для Android'а и выявляют сигнатуры кода относящегося к трекерам.
- AppCensus [2] стартап из кремниевой долины с фокусом на динамический анализ приложений. Приложения устанавливаются на реальное устройство и замеряется то к каким сервисам они обращаются и что передают
- Mobile Security Framework [3] продукт с открытым кодом для локальной проверки мобильных приложений для Android'а. Умеет декомпилировать, проводить анализ разрешений, компонентов, безопасности приложения. Интегрирован с Exodus Privacy и ещё много чего умеет
- ICSI Haystack Project [4] проект по мониторингу мобильных приложений с академическим уклоном от Data Transparency Lab. Включает много наборов данных и мобильное приложение Lumen для отслеживания того куда приложения обращаются.
Как бороться с мобильной слежкой ? С помощью приложений создающих VPN соединения блокирующие обращения к сайтам трекеров.
Приложения для блокировки
- Blockada [5] бесплатное приложение с открытым кодом и расширенными возможностями для тех кому нужен VPN как VPN, а не просто резка трекеров.
- NextDNS [6] коммерческий сервис DNS серверов с возможностью отслеживать и фильтровать запросы к DNS со стороны собственных устройств. Может как вести журнал и предоставлять его пользователю, так и наоборот обеспечивать анонимность. Режет большое число трекеров и подключает множество блоклистов. Работает не только с устройствами Android, но и со многими другими.
Ссылки:
[1] https://exodus-privacy.eu.org/
[2] https://appcensus.io
[3] https://github.com/MobSF
[4] https://www.haystack.mobi/
[5] https://blokada.org/
[6] https://nextdns.io
#privacy #mobileapps #apps
В рубрике интересные наборы данных, наборы данных связанные с анализом мобильных приложений.
- AndroZoo [1] база файлов .apk приложений для Android c более чем 16 миллионами приложений. Только сжатый файл csv с описанием более 2GB, а все файлы, конечно, гораздо большего объёма. Доступ предоставляют исследователям по запросу. Непонятно насколько часто обновляется, последнее упоминание научных работ в 2016 году
- MalDroid 2020 [2] база зловредных приложений для Андроида собранная в Универститете Нью Брунвика. Включает 17,341 приложений, доступ по запросу. У них же там много других датасетов, связанных с кибербезопасностью, даркнетом и тд [3]
- Android Malware Datasets [4] подборка ссылок на наборы данных вредоносных мобильных приложений для Android
Наборов данных гораздо больше, многие из них создают внутри университетов для исследования переупаковки приложений, наличия вредоносного кода, наличия рекламного кода (adware), сетевой безопасности, распространения технологий и многого другого.
Ссылки:
[1] https://androzoo.uni.lu/
[2] https://www.unb.ca/cic/datasets/maldroid-2020.html
[3] https://www.unb.ca/cic/datasets/index.html
[4] https://github.com/traceflight/Android-Malware-Datasets
#privacy #datasets #android #apps
- AndroZoo [1] база файлов .apk приложений для Android c более чем 16 миллионами приложений. Только сжатый файл csv с описанием более 2GB, а все файлы, конечно, гораздо большего объёма. Доступ предоставляют исследователям по запросу. Непонятно насколько часто обновляется, последнее упоминание научных работ в 2016 году
- MalDroid 2020 [2] база зловредных приложений для Андроида собранная в Универститете Нью Брунвика. Включает 17,341 приложений, доступ по запросу. У них же там много других датасетов, связанных с кибербезопасностью, даркнетом и тд [3]
- Android Malware Datasets [4] подборка ссылок на наборы данных вредоносных мобильных приложений для Android
Наборов данных гораздо больше, многие из них создают внутри университетов для исследования переупаковки приложений, наличия вредоносного кода, наличия рекламного кода (adware), сетевой безопасности, распространения технологий и многого другого.
Ссылки:
[1] https://androzoo.uni.lu/
[2] https://www.unb.ca/cic/datasets/maldroid-2020.html
[3] https://www.unb.ca/cic/datasets/index.html
[4] https://github.com/traceflight/Android-Malware-Datasets
#privacy #datasets #android #apps
androzoo.uni.lu
Androzoo home
Androzoo Android Application Collection