Ivan Begtin
7.99K subscribers
1.86K photos
3 videos
101 files
4.57K links
I write about Open Data, Data Engineering, Government, Privacy, Digital Preservation and other gov related and tech stuff.

Founder of Dateno https://dateno.io

Telegram @ibegtin
Facebook - https://facebook.com/ibegtin
Secure contacts [email protected]
Download Telegram
MalwareBytes, производитель антивирусного ПО опубликовали исследование о том как троянское китайское ПО устанавливается на бюджетных телефонах в США [1], что усугубляется тем что телефоны и вредоносное ПО китайского происхождения, а телефоны UMX U683CL продаются по $35, ниже себестоимости, а часть цены компенсируется правительством США для повышения доступности телефона для малоимущих. На русском языке об этом пишет CNews [2].

Ко всему можно добавить что ПО не просто предустановлено, оно ещё и является "неудаляемым ПО" после удаления которого на системном уровне перестаёт работать обновление прошивки телефона.

Ссылки:
[1] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
[2] https://safe.cnews.ru/news/top/2020-01-13_na_subsidiruemyh_pravitelstvom

#privacy #mobile #china
Австралийское государственное приложение Coronavirus Australia [1] появилось в Google Play 29 марта [2] и у него уже 580 оценок и 3 звезды.
Российское государственное приложение Мэрии Москвы [3] появилось 25 марта [4] и к нему уже 631 отзыв и оценка в 1 звезду.

Пользователи активно минусуют попытки государства к внедрению всеобщего мониторинга. Но я хочу обратить внимание на другое. Московское приложение, помимо того что сделано "тяп ляп" [5] ещё и сливает статистику в Google Firebase [6] поскольку использует Google Firebase Analytics [7] в своей работе.

Если кто-то хочет задаться вопросом можно ли разрабатывать приложения для Android не сливая статистику и аналитику в Google, то ответ - да, можно. Почему это не было сделано? А вот это и есть важный вопрос, который, я уверен, журналисты найдут время и спросить ДИТ Москвы.

Ссылки:
[1] https://play.google.com/store/apps/details?id=au.gov.health.covid19
[2] https://www.abc.net.au/news/2020-03-29/federal-government-launches-coronavirus-australia-app/12100680
[3] https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround&showAllReviews=true
[4] https://t.iss.one/antidigital/2439
[5] https://t.iss.one/begtin/1841
[6] https://reports.exodus-privacy.eu.org/en/reports/122620/
[7] https://firebase.google.com/

#privacy #coronavirus #moscow #mobile
Медуза [1], Известия [2], РИА Новости [3] и другие издания пишут о экспертах МВД предлагающих создать мобильное приложение "Мигрант" и включить в него "рейтинг социального доверия". Иначе говоря, наработки приложений "Социальный мониторинг" и "Стопкоронавирус.РФ" МВД явно понравились и решили применить их на трудовых мигрантах.

К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.

Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?

[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html

#mobile #apps #privacy
То что мы наблюдаем сейчас с государственными мобильными приложениями вроде "Стопкоронавирус" или "Социальный мониторинг" - это, очень запоздалый, с задержкой более чем в 5 лет, но неизбежный приход государства в экосистему смартфонов. Также как когда-то с большим запозданием, крайне неумело и до сих пор не осознав до конца, государство приходило Интернет, так и сейчас мобильная экосистема переживает последствия осознания государством его осознания. Под "государством" здесь можно принимать разное, от метафизического Государства с большой буквы как ментальную модель в головах политической элиты, до руководства институционализированных и фактических структур власти.
...

Текст получился слишком большой чтобы целиком публиковать его в телеграм, полный текст у меня в блоге https://begtin.tech/govmobile/

#government #mobile #policy
Правосудие "тяжёлая тема" не только в России, но и в таких странах как США. Юристы стоят дорого, во многом от того что для граждан судебная система более всего напоминает лабиринт. Приложение UnBail [1] переводит судебные разбирательства на язык и форму понятную обывателям, дает пошаговое объяснение судебного процесса и, в принципе, связывает его с сообществом.

Один недостаток, пока это скорее прототип, доступный только после пожертвования команде разработчиков.

И здесь мне хотелось бы сказать что в России оно было бы актуально как никогда.


Ссылки:
[1] https://www.unbail.org/

#justice #mobile
На сайте MIT Technology Review [1] публикация о том что теперь в Сингапуре отслеживание контактов является обязательным и обзор и сравнение мобильных приложений, их технологий и их прозрачность по странам.

У них же там весьма интересная таблица [2] в которой больше информации чем то что показывается в статье.

P.S. России в списке стран и приложений ещё нет

Ссылки:
[1] https://www.technologyreview.com/2020/11/23/1012491/contact-tracing-mandatory-singapore-covid-pandemic/
[2] https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0

#privacy #mobile
С 9 января в США наблюдается резкий всплеск популярности альтернативных мессенжеров и соцсетей. Помимо Telegram'а, это ещё и Signal, CloutHub, MeWe и Rumble.

Источник: Axios (https://axios.com), данные из Apptopia (https://apptopia.com)

#mobile
Алексей Лукацкий пишет [1] про наше исследование о том что государственные мобильные приложения передают данные в другие юрисдикции [2].

Он делает акцент на том что эта практика, вообще-то, нарушает отечественные законы и эти данные подпадают под персональные данные.

А тем временем за последние 3 дня у меня было несколько разговоров на тему: "А можете ли Вы привести примеры когда реально данные передавались и какие?". Я обращаю внимание всех что цель нашего исследования была не обвинить Минцифру или ДИТ Москвы, они творят немало плохого, хорошего или странного, а в, в первую очередь, обратить внимание на нарастающий тренд появления госприложений и последствия этого в виде:
- формирования новой экосистемы государственной слежки
- передачу данных из госприложений в экосистемы AdTech
- полное отсутствие регуляторной политики в этой области.

Но реакции Минцифры или Роскомнадзора или ФСТЭК или даже депутатов именно как регуляторов не последовали, а цель была именно в этом.

Ну а если бы у меня были факты, вернее если я и коллеги, хотели бы сделать акцент на фактах передачи персональных данных, а не на регуляторных проблемах, то прежде чем публиковать доклад эти факты следовало бы направлять в Роскомнадзор, Генпрокуратуру и ФСТЭК так как я ранее делал это с докладом по утечкам общедоступных данных из государственных информационных систем.

А пока давайте я обозначу - с 1 апреля 2021 года станет обязательной предустановка приложений на мобильные устройства.
С этого момента не только компании разработчики этих приложений, но и регулятор утвердивший их список - Минцифры России, Правительство РФ и далее по цепочке берут на себя ответственность за передачу данных в них сторонним компаниям, включая передачу данных в другие юрисдикции.

Выпустим ли мы по ним исследование к 1 апреля? Может быть. А может быть это сделает кто-то ещё, а мы сделаем исследование на другую тему.


Ссылки:
[1] https://lukatsky.blogspot.com/2021/02/google-analytics.html
[2] https://privacygosmobapps.infoculture.ru/

#privacy #regulation #mobile #research
Знаете ли Вы что...
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])

Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет

Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics

и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.

Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?

Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app

#mobile #apps #covid19
Роскомнадзор анонсировал мобильное приложение [1] для ускоренной подачи жалоб граждан на запрещенную информацию.

Как я и говорил ранее, на госприложения этот год будет урожайным. Его вариант для Android'а [2] сейчас помечен как в разработке и поэтому пока не получается стандартными средствами скачать APK файл для анализа на предмет трекеров и разрешений. Разрешения, вернее, можно увидеть и так на странице в Google Play.

Если Вы знаете как скачать APK файл такого приложения и можете помочь инструкцией/инструментом или скачать его и передать на исследование, то можем узнать какие трекеры Роскомнадзора туда запрятал. Или не запрятал, не проверишь не узнаешь.

Буду рад любой помощи, пишите мне в Telegram или на почту [email protected]

Ссылки:
[1] https://rkn.gov.ru/news/rsoc/news73388.htm
[2] https://play.google.com/store/apps/details?id=org.rkn.ermp

#privacy #mobile #rkn #roskomnadzor
Для тех кто задается вопросами о том в чём риски встраиваемых трекеров, большое исследование от цифровой лаборатории ExpressVPN по трекерам использовавших SDK X-Mode [1]

Исследование выявило использование этого трекера в 450 приложениях скачанных совокупно 1.7 миллиардов раз.
Именно с его помощью правительство США следило (а может и следит сейчас) за мусульманскими общинами.

Это сейчас один из главных вызовов для рынка AdTech. Он вырос настолько и создал столь эффективные инструменты коммерческой слежки что уже нельзя говорить о том что "пусть о нас собирают данные, они ведь просто хотят наши деньги". Проблема в том что государства в данном случае могут выступать не только как "этичные регуляторы", но и как неэтичные потребители собираемых данных слежки за собственными гражданами и гражданами других стран.

Ссылки:
[1] https://www.expressvpn.com/digital-security-lab/investigation-xoth

#privacy #xmode #mobile #adtech
Этот выпуск рассылки [5] я решил целиком и полностью посвятить совсем нешуточному регулированию о предустановке отечественного ПО, оно вступило в силу с 1-го апреля и уже начались публикации о том что производители предустанавливают приложения как неудаляемые (пример - Samsung) [1].

Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.

Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.

Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.

Подробности по каждому приложению в сегодняшней утренней рассылке [5].

P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.

А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.

Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15

#privacy #government #apps #mobile
Для тех кто интересуется как проверять мобильные приложения на предмет того куда и как они передают данные и как это базово проверять, подборка инструментов:

- Exodus Privacy [1] - набор инструментов и база трекеров от французской НКО Exodus Privacy
- Pithus [2] - инструмент для анализа приложений для Android с удобным интерфейсом. Ограничения: apk файлы не более 65 мегабайт
- Apkpure [3] - сервис для выгрузки APK файлов для телефонов Android
- Mobile Security Framework [4] - инструмент анализа APK файлов, с полностью открытым кодом
- Virustotal [5] - умеет выдавать подробную информацию, в том числе, про APK файлы.
- AppCensus [6] - база данных и консультанты/исследователи разбирающие мобильные приложения и отслеживающие передаваемый ими трафик. Публикуют отчёты об исследованиях, например, австралийских приложений
- AppBrain [7] - большая база собранных метаданных и данных по мобильным приложениям
- AppFollow [8] - сервис мониторинга инсталляций и отзывов о приложениях.

В этому всему есть некоторое количество открытого кода, скриптов и так далее. Если кто-то захочет предметно проверить и сравнить, например, банковские приложения или самые популярные игры или ещё раз проверить госприложения - сделать это не так уж сложно.

Ссылки:
[1] https://exodus-privacy.org
[2] https://beta.pithus.org
[3] https://apkpure.com
[4] https://opensecurity.in
[5] https://virustotal.com
[6] https://www.appcensus.io
[7] https://www.appbrain.com
[8] https://appfollow.io

#privacy #android #mobile
Поскольку прошлая моя публикация про трекеры в мобильных приложениях наделала много шума, чего, в данном случае, у меня в планах не было. Давайте я буду заранее предупреждать о чём (или кто-нибудь ещё) напишу по этой теме. То что можно было сделать, но всего, либо руки не доходили, либо надо много сил и времени потратить:

Итак, список:
- юридический анализ условий использования приложений (государственных, предустанавливаемых, банковских или других списками). Подсказка - у некоторых госприложений вместо условий использования эдакий "черновичок", не то чтобы совсем пустой документ, но юридически ничтожный.
- динамический анализ приложений трудоёмкая такая работа, требует полноценного стенда или перепрошитых телефонов, но позволяет собрать инфу по всем подключениям ко всем серверам. Работает не идеально, потому что некоторые особо хитрые разработчики научились передавать под видом TLS трафика совсем другое, так, например, разработчики приложения Calm делают.
- углублённый анализ с декомпиляцией Android приложения - это почти всегда Java и там почти всегда можно что-то прочитать, хотя и многое подвергается обфускации. Но есть и программные библиотеки скомпилированные под разные платформы и идущие в связке с этими приложениями (кстати сама экосистема андроида очень неэффективная в части хранения и передачи данных). Это такая часть требующая повышенной аккуратности чтобы ничьи права не нарушить, но в этих библиотеках чего только нет. Даже без докомпиляции, к примеру, в библиотеку для работы с Яндекс картами вшиты ссылки на закодированные файлы в Dropbox и на Amazon AWS.
- персональные данные тут, на самом деле, надо объяснить что такое рекламный идентификатор устройства Андроид, идентификатор пользователя, цифровой фингерпринтинг и тд. А также показать на примерах как они собираются и куда передаются, и таких примеров много.
- инфраструктура коммерческой слежки а вот это отдельная и самая интересная тема, я не буду указывать на конкретного национального цифрового чемпиона у которого инфраструктура его трекера находится одноверменно в России и в Евросоюзе. И, внимание вопрос, как код этого трекера понимает на какой из серверов ему необходимо передавать данные и по каким критериям? Ответ на этот вопрос можно отложить на какое-то время, а можно кто-то догадается самостоятельно.

Как я уже писал ранее, то что ранее мы публиковали про трекеры в госприложениях и в предустановленных приложениях - это был самый что ни на есть поверхностный анализ, так что продолжение будет.

#privacy #mobile
Продолжая тему про государственные информационные системы, мобильные приложения, передачу данных третьим сторонам. Рассмотрим одно мобильное приложение от Минцифры в подробностях.

Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].

Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?

К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.

А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.

Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/

#privacy #mobile #apps #digital
Вчера в интервью Росбалту [1] я постарался насколько возможно изложить все опасения по поводу того как данные собираются мобильными приложениям и в чём проблема регулирования/отсутствия регулирования в этой области.

Ох и сложно, конечно, выдерживать конструктивную критику, но я старался как мог.

Ссылки:
[1] https://www.rosbalt.ru/moscow/2021/04/13/1897113.html

#privacy #mobile