MalwareBytes, производитель антивирусного ПО опубликовали исследование о том как троянское китайское ПО устанавливается на бюджетных телефонах в США [1], что усугубляется тем что телефоны и вредоносное ПО китайского происхождения, а телефоны UMX U683CL продаются по $35, ниже себестоимости, а часть цены компенсируется правительством США для повышения доступности телефона для малоимущих. На русском языке об этом пишет CNews [2].
Ко всему можно добавить что ПО не просто предустановлено, оно ещё и является "неудаляемым ПО" после удаления которого на системном уровне перестаёт работать обновление прошивки телефона.
Ссылки:
[1] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
[2] https://safe.cnews.ru/news/top/2020-01-13_na_subsidiruemyh_pravitelstvom
#privacy #mobile #china
Ко всему можно добавить что ПО не просто предустановлено, оно ещё и является "неудаляемым ПО" после удаления которого на системном уровне перестаёт работать обновление прошивки телефона.
Ссылки:
[1] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
[2] https://safe.cnews.ru/news/top/2020-01-13_na_subsidiruemyh_pravitelstvom
#privacy #mobile #china
Malwarebytes
United States government-funded phones come pre-installed with unremovable malware | Malwarebytes Labs
A US-funded government assistance program is selling budget-friendly mobile phones that come pre-installed with unremovable malicious apps.
Австралийское государственное приложение Coronavirus Australia [1] появилось в Google Play 29 марта [2] и у него уже 580 оценок и 3 звезды.
Российское государственное приложение Мэрии Москвы [3] появилось 25 марта [4] и к нему уже 631 отзыв и оценка в 1 звезду.
Пользователи активно минусуют попытки государства к внедрению всеобщего мониторинга. Но я хочу обратить внимание на другое. Московское приложение, помимо того что сделано "тяп ляп" [5] ещё и сливает статистику в Google Firebase [6] поскольку использует Google Firebase Analytics [7] в своей работе.
Если кто-то хочет задаться вопросом можно ли разрабатывать приложения для Android не сливая статистику и аналитику в Google, то ответ - да, можно. Почему это не было сделано? А вот это и есть важный вопрос, который, я уверен, журналисты найдут время и спросить ДИТ Москвы.
Ссылки:
[1] https://play.google.com/store/apps/details?id=au.gov.health.covid19
[2] https://www.abc.net.au/news/2020-03-29/federal-government-launches-coronavirus-australia-app/12100680
[3] https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround&showAllReviews=true
[4] https://t.iss.one/antidigital/2439
[5] https://t.iss.one/begtin/1841
[6] https://reports.exodus-privacy.eu.org/en/reports/122620/
[7] https://firebase.google.com/
#privacy #coronavirus #moscow #mobile
Российское государственное приложение Мэрии Москвы [3] появилось 25 марта [4] и к нему уже 631 отзыв и оценка в 1 звезду.
Пользователи активно минусуют попытки государства к внедрению всеобщего мониторинга. Но я хочу обратить внимание на другое. Московское приложение, помимо того что сделано "тяп ляп" [5] ещё и сливает статистику в Google Firebase [6] поскольку использует Google Firebase Analytics [7] в своей работе.
Если кто-то хочет задаться вопросом можно ли разрабатывать приложения для Android не сливая статистику и аналитику в Google, то ответ - да, можно. Почему это не было сделано? А вот это и есть важный вопрос, который, я уверен, журналисты найдут время и спросить ДИТ Москвы.
Ссылки:
[1] https://play.google.com/store/apps/details?id=au.gov.health.covid19
[2] https://www.abc.net.au/news/2020-03-29/federal-government-launches-coronavirus-australia-app/12100680
[3] https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround&showAllReviews=true
[4] https://t.iss.one/antidigital/2439
[5] https://t.iss.one/begtin/1841
[6] https://reports.exodus-privacy.eu.org/en/reports/122620/
[7] https://firebase.google.com/
#privacy #coronavirus #moscow #mobile
Google Play
Coronavirus Australia - Apps on Google Play
Official Government Information
Медуза [1], Известия [2], РИА Новости [3] и другие издания пишут о экспертах МВД предлагающих создать мобильное приложение "Мигрант" и включить в него "рейтинг социального доверия". Иначе говоря, наработки приложений "Социальный мониторинг" и "Стопкоронавирус.РФ" МВД явно понравились и решили применить их на трудовых мигрантах.
К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.
Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?
[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html
#mobile #apps #privacy
К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.
Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?
[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html
#mobile #apps #privacy
Meduza
МВД предложило создать приложение «Мигрант», устанавливать которое обяжут всех приехавших на работу в Россию
Эксперты МВД предложили рассмотреть возможность создания мобильного приложения, устанавливать которое обяжут всех трудовых мигрантов, приезжающих в Россию. Соответствующее предложение, сообщает РИА Новости, содержится в прогнозе развития ситуации в миграционной…
То что мы наблюдаем сейчас с государственными мобильными приложениями вроде "Стопкоронавирус" или "Социальный мониторинг" - это, очень запоздалый, с задержкой более чем в 5 лет, но неизбежный приход государства в экосистему смартфонов. Также как когда-то с большим запозданием, крайне неумело и до сих пор не осознав до конца, государство приходило Интернет, так и сейчас мобильная экосистема переживает последствия осознания государством его осознания. Под "государством" здесь можно принимать разное, от метафизического Государства с большой буквы как ментальную модель в головах политической элиты, до руководства институционализированных и фактических структур власти.
...
Текст получился слишком большой чтобы целиком публиковать его в телеграм, полный текст у меня в блоге https://begtin.tech/govmobile/
#government #mobile #policy
...
Текст получился слишком большой чтобы целиком публиковать его в телеграм, полный текст у меня в блоге https://begtin.tech/govmobile/
#government #mobile #policy
Ivan Begtin blog
Государственное регулирование экосистемы мобильных приложений
В последнее время мне как-то всё тяжелее даются тексты размышлений длиннее чем в половину страницы, но одну мысль я не могу не выразить, потому что зреет она давно. То что мы наблюдаем сейчас с государственными мобильными приложениями вроде "Стопкоронавирус"…
Правосудие "тяжёлая тема" не только в России, но и в таких странах как США. Юристы стоят дорого, во многом от того что для граждан судебная система более всего напоминает лабиринт. Приложение UnBail [1] переводит судебные разбирательства на язык и форму понятную обывателям, дает пошаговое объяснение судебного процесса и, в принципе, связывает его с сообществом.
Один недостаток, пока это скорее прототип, доступный только после пожертвования команде разработчиков.
И здесь мне хотелось бы сказать что в России оно было бы актуально как никогда.
Ссылки:
[1] https://www.unbail.org/
#justice #mobile
Один недостаток, пока это скорее прототип, доступный только после пожертвования команде разработчиков.
И здесь мне хотелось бы сказать что в России оно было бы актуально как никогда.
Ссылки:
[1] https://www.unbail.org/
#justice #mobile
unBail
unBail | System Reform | Cleveland
unBail helps defendants easily navigate the legal system and access resources through a mobile application
На сайте MIT Technology Review [1] публикация о том что теперь в Сингапуре отслеживание контактов является обязательным и обзор и сравнение мобильных приложений, их технологий и их прозрачность по странам.
У них же там весьма интересная таблица [2] в которой больше информации чем то что показывается в статье.
P.S. России в списке стран и приложений ещё нет
Ссылки:
[1] https://www.technologyreview.com/2020/11/23/1012491/contact-tracing-mandatory-singapore-covid-pandemic/
[2] https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0
#privacy #mobile
У них же там весьма интересная таблица [2] в которой больше информации чем то что показывается в статье.
P.S. России в списке стран и приложений ещё нет
Ссылки:
[1] https://www.technologyreview.com/2020/11/23/1012491/contact-tracing-mandatory-singapore-covid-pandemic/
[2] https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0
#privacy #mobile
MIT Technology Review
Some prominent exposure apps are slowly rolling back freedoms
Singapore was the first country to launch a digital contact tracing app. The government now says it’s going to be mandatory.
С 9 января в США наблюдается резкий всплеск популярности альтернативных мессенжеров и соцсетей. Помимо Telegram'а, это ещё и Signal, CloutHub, MeWe и Rumble.
Источник: Axios (https://axios.com), данные из Apptopia (https://apptopia.com)
#mobile
Источник: Axios (https://axios.com), данные из Apptopia (https://apptopia.com)
#mobile
Алексей Лукацкий пишет [1] про наше исследование о том что государственные мобильные приложения передают данные в другие юрисдикции [2].
Он делает акцент на том что эта практика, вообще-то, нарушает отечественные законы и эти данные подпадают под персональные данные.
А тем временем за последние 3 дня у меня было несколько разговоров на тему: "А можете ли Вы привести примеры когда реально данные передавались и какие?". Я обращаю внимание всех что цель нашего исследования была не обвинить Минцифру или ДИТ Москвы, они творят немало плохого, хорошего или странного, а в, в первую очередь, обратить внимание на нарастающий тренд появления госприложений и последствия этого в виде:
- формирования новой экосистемы государственной слежки
- передачу данных из госприложений в экосистемы AdTech
- полное отсутствие регуляторной политики в этой области.
Но реакции Минцифры или Роскомнадзора или ФСТЭК или даже депутатов именно как регуляторов не последовали, а цель была именно в этом.
Ну а если бы у меня были факты, вернее если я и коллеги, хотели бы сделать акцент на фактах передачи персональных данных, а не на регуляторных проблемах, то прежде чем публиковать доклад эти факты следовало бы направлять в Роскомнадзор, Генпрокуратуру и ФСТЭК так как я ранее делал это с докладом по утечкам общедоступных данных из государственных информационных систем.
А пока давайте я обозначу - с 1 апреля 2021 года станет обязательной предустановка приложений на мобильные устройства.
С этого момента не только компании разработчики этих приложений, но и регулятор утвердивший их список - Минцифры России, Правительство РФ и далее по цепочке берут на себя ответственность за передачу данных в них сторонним компаниям, включая передачу данных в другие юрисдикции.
Выпустим ли мы по ним исследование к 1 апреля? Может быть. А может быть это сделает кто-то ещё, а мы сделаем исследование на другую тему.
Ссылки:
[1] https://lukatsky.blogspot.com/2021/02/google-analytics.html
[2] https://privacygosmobapps.infoculture.ru/
#privacy #regulation #mobile #research
Он делает акцент на том что эта практика, вообще-то, нарушает отечественные законы и эти данные подпадают под персональные данные.
А тем временем за последние 3 дня у меня было несколько разговоров на тему: "А можете ли Вы привести примеры когда реально данные передавались и какие?". Я обращаю внимание всех что цель нашего исследования была не обвинить Минцифру или ДИТ Москвы, они творят немало плохого, хорошего или странного, а в, в первую очередь, обратить внимание на нарастающий тренд появления госприложений и последствия этого в виде:
- формирования новой экосистемы государственной слежки
- передачу данных из госприложений в экосистемы AdTech
- полное отсутствие регуляторной политики в этой области.
Но реакции Минцифры или Роскомнадзора или ФСТЭК или даже депутатов именно как регуляторов не последовали, а цель была именно в этом.
Ну а если бы у меня были факты, вернее если я и коллеги, хотели бы сделать акцент на фактах передачи персональных данных, а не на регуляторных проблемах, то прежде чем публиковать доклад эти факты следовало бы направлять в Роскомнадзор, Генпрокуратуру и ФСТЭК так как я ранее делал это с докладом по утечкам общедоступных данных из государственных информационных систем.
А пока давайте я обозначу - с 1 апреля 2021 года станет обязательной предустановка приложений на мобильные устройства.
С этого момента не только компании разработчики этих приложений, но и регулятор утвердивший их список - Минцифры России, Правительство РФ и далее по цепочке берут на себя ответственность за передачу данных в них сторонним компаниям, включая передачу данных в другие юрисдикции.
Выпустим ли мы по ним исследование к 1 апреля? Может быть. А может быть это сделает кто-то ещё, а мы сделаем исследование на другую тему.
Ссылки:
[1] https://lukatsky.blogspot.com/2021/02/google-analytics.html
[2] https://privacygosmobapps.infoculture.ru/
#privacy #regulation #mobile #research
Blogspot
Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор
Блог Алексея Лукацкого "Бизнес без опасности"
Знаете ли Вы что...
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])
Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет
Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics
и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.
Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?
Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app
#mobile #apps #covid19
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])
Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет
Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics
и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.
Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?
Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app
#mobile #apps #covid19
www.coronawarn.app
Open-Source Project Corona-Warn-App
The website of the open-source project for the Corona-Warn-App. The Corona-Warn-App is an app that helps trace infection chains of COVID-19 in Germany.
Роскомнадзор анонсировал мобильное приложение [1] для ускоренной подачи жалоб граждан на запрещенную информацию.
Как я и говорил ранее, на госприложения этот год будет урожайным. Его вариант для Android'а [2] сейчас помечен как в разработке и поэтому пока не получается стандартными средствами скачать APK файл для анализа на предмет трекеров и разрешений. Разрешения, вернее, можно увидеть и так на странице в Google Play.
Если Вы знаете как скачать APK файл такого приложения и можете помочь инструкцией/инструментом или скачать его и передать на исследование, то можем узнать какие трекеры Роскомнадзора туда запрятал. Или не запрятал, не проверишь не узнаешь.
Буду рад любой помощи, пишите мне в Telegram или на почту [email protected]
Ссылки:
[1] https://rkn.gov.ru/news/rsoc/news73388.htm
[2] https://play.google.com/store/apps/details?id=org.rkn.ermp
#privacy #mobile #rkn #roskomnadzor
Как я и говорил ранее, на госприложения этот год будет урожайным. Его вариант для Android'а [2] сейчас помечен как в разработке и поэтому пока не получается стандартными средствами скачать APK файл для анализа на предмет трекеров и разрешений. Разрешения, вернее, можно увидеть и так на странице в Google Play.
Если Вы знаете как скачать APK файл такого приложения и можете помочь инструкцией/инструментом или скачать его и передать на исследование, то можем узнать какие трекеры Роскомнадзора туда запрятал. Или не запрятал, не проверишь не узнаешь.
Буду рад любой помощи, пишите мне в Telegram или на почту [email protected]
Ссылки:
[1] https://rkn.gov.ru/news/rsoc/news73388.htm
[2] https://play.google.com/store/apps/details?id=org.rkn.ermp
#privacy #mobile #rkn #roskomnadzor
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Роскомнадзор запустил мобильное приложение для приема обращений граждан
9 февраля 2021 года
Для тех кто задается вопросами о том в чём риски встраиваемых трекеров, большое исследование от цифровой лаборатории ExpressVPN по трекерам использовавших SDK X-Mode [1]
Исследование выявило использование этого трекера в 450 приложениях скачанных совокупно 1.7 миллиардов раз.
Именно с его помощью правительство США следило (а может и следит сейчас) за мусульманскими общинами.
Это сейчас один из главных вызовов для рынка AdTech. Он вырос настолько и создал столь эффективные инструменты коммерческой слежки что уже нельзя говорить о том что "пусть о нас собирают данные, они ведь просто хотят наши деньги". Проблема в том что государства в данном случае могут выступать не только как "этичные регуляторы", но и как неэтичные потребители собираемых данных слежки за собственными гражданами и гражданами других стран.
Ссылки:
[1] https://www.expressvpn.com/digital-security-lab/investigation-xoth
#privacy #xmode #mobile #adtech
Исследование выявило использование этого трекера в 450 приложениях скачанных совокупно 1.7 миллиардов раз.
Именно с его помощью правительство США следило (а может и следит сейчас) за мусульманскими общинами.
Это сейчас один из главных вызовов для рынка AdTech. Он вырос настолько и создал столь эффективные инструменты коммерческой слежки что уже нельзя говорить о том что "пусть о нас собирают данные, они ведь просто хотят наши деньги". Проблема в том что государства в данном случае могут выступать не только как "этичные регуляторы", но и как неэтичные потребители собираемых данных слежки за собственными гражданами и гражданами других стран.
Ссылки:
[1] https://www.expressvpn.com/digital-security-lab/investigation-xoth
#privacy #xmode #mobile #adtech
Expressvpn
ExpressVPN’s Research on Smartphone Location Tracking | ExpressVPN
Investigation Xoth is the ExpressVPN Digital Security Lab’s research into smartphone location tracking. Read about its findings here.
Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://play.google.com/store/apps/developer?id=%D0%A1%D0%9F%D0%91+%D0%93%D0%A3%D0%9F+%22%D0%A1%D0%9F%D0%91+%D0%98%D0%90%D0%A6%22
[3] https://play.google.com/store/apps/details?id=ru.spb.iac.ourspb
[4] https://play.google.com/store/apps/developer?id=%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9+%D0%B3%D0%BE%D1%80%D0%BE%D0%B4+%D0%93%D0%9A%D0%A3
[5] https://play.google.com/store/apps/details?id=com.minsvyaz.gosuslugi.stopcorona
#privacy #mobile
[1] https://privacygosmobapps.infoculture.ru/
[2] https://play.google.com/store/apps/developer?id=%D0%A1%D0%9F%D0%91+%D0%93%D0%A3%D0%9F+%22%D0%A1%D0%9F%D0%91+%D0%98%D0%90%D0%A6%22
[3] https://play.google.com/store/apps/details?id=ru.spb.iac.ourspb
[4] https://play.google.com/store/apps/developer?id=%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9+%D0%B3%D0%BE%D1%80%D0%BE%D0%B4+%D0%93%D0%9A%D0%A3
[5] https://play.google.com/store/apps/details?id=com.minsvyaz.gosuslugi.stopcorona
#privacy #mobile
Этот выпуск рассылки [5] я решил целиком и полностью посвятить совсем нешуточному регулированию о предустановке отечественного ПО, оно вступило в силу с 1-го апреля и уже начались публикации о том что производители предустанавливают приложения как неудаляемые (пример - Samsung) [1].
Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.
Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.
Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.
Подробности по каждому приложению в сегодняшней утренней рассылке [5].
P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.
А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.
Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15
#privacy #government #apps #mobile
Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений [2] и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy [3] с результатами выявления внешних трекеров в этих приложениях.
Краткие выводы
- Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
- Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
- Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
- Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передаче персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
- В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.
Я напомню наше предыдущее исследование [4] по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено.
Подробности по каждому приложению в сегодняшней утренней рассылке [5].
P.S. Я долго думал не использовать ли какой-нибудь "жареный заголовок" типа "Минцифры обязало сливать данные россиян в Китай, США и Индию" или "Помощь отечественным производителям или зарубежным разведкам?" или "Отечественные приложения - это иностранные шпионы?" и ещё много такого.
А вместо этого, обратите внимание, пишу вот такой сдержанный, конструктивный, не циничный, а где-то даже полезный текст с обозначением недостаточного и незавершённого регулирования рынка AdTech со стороны российских законодателей и регуляторов которое и приводит к текущей, весьма плачевной ситуации.
Ссылки:
[1] https://www.rbc.ru/technology_and_media/31/03/2021/6064ae8c9a7947252d3e69d3
[2] https://habr.com/ru/news/t/536308/
[3] https://reports.exodus-privacy.eu.org/en/
[4] https://privacygosmobapps.infoculture.ru/
[5] https://begtin.substack.com/p/15
#privacy #government #apps #mobile
РБК
Samsung объяснила установку на смартфоны неудаляемых приложений «Яндекса»
В компании опасаются, что, предустановив некоторые приложения с возможностью их удалить, могли нарушить российское законодательство. Против установки неудаляемых приложений выступили в Минцифры, а
Для тех кто интересуется как проверять мобильные приложения на предмет того куда и как они передают данные и как это базово проверять, подборка инструментов:
- Exodus Privacy [1] - набор инструментов и база трекеров от французской НКО Exodus Privacy
- Pithus [2] - инструмент для анализа приложений для Android с удобным интерфейсом. Ограничения: apk файлы не более 65 мегабайт
- Apkpure [3] - сервис для выгрузки APK файлов для телефонов Android
- Mobile Security Framework [4] - инструмент анализа APK файлов, с полностью открытым кодом
- Virustotal [5] - умеет выдавать подробную информацию, в том числе, про APK файлы.
- AppCensus [6] - база данных и консультанты/исследователи разбирающие мобильные приложения и отслеживающие передаваемый ими трафик. Публикуют отчёты об исследованиях, например, австралийских приложений
- AppBrain [7] - большая база собранных метаданных и данных по мобильным приложениям
- AppFollow [8] - сервис мониторинга инсталляций и отзывов о приложениях.
В этому всему есть некоторое количество открытого кода, скриптов и так далее. Если кто-то захочет предметно проверить и сравнить, например, банковские приложения или самые популярные игры или ещё раз проверить госприложения - сделать это не так уж сложно.
Ссылки:
[1] https://exodus-privacy.org
[2] https://beta.pithus.org
[3] https://apkpure.com
[4] https://opensecurity.in
[5] https://virustotal.com
[6] https://www.appcensus.io
[7] https://www.appbrain.com
[8] https://appfollow.io
#privacy #android #mobile
- Exodus Privacy [1] - набор инструментов и база трекеров от французской НКО Exodus Privacy
- Pithus [2] - инструмент для анализа приложений для Android с удобным интерфейсом. Ограничения: apk файлы не более 65 мегабайт
- Apkpure [3] - сервис для выгрузки APK файлов для телефонов Android
- Mobile Security Framework [4] - инструмент анализа APK файлов, с полностью открытым кодом
- Virustotal [5] - умеет выдавать подробную информацию, в том числе, про APK файлы.
- AppCensus [6] - база данных и консультанты/исследователи разбирающие мобильные приложения и отслеживающие передаваемый ими трафик. Публикуют отчёты об исследованиях, например, австралийских приложений
- AppBrain [7] - большая база собранных метаданных и данных по мобильным приложениям
- AppFollow [8] - сервис мониторинга инсталляций и отзывов о приложениях.
В этому всему есть некоторое количество открытого кода, скриптов и так далее. Если кто-то захочет предметно проверить и сравнить, например, банковские приложения или самые популярные игры или ещё раз проверить госприложения - сделать это не так уж сложно.
Ссылки:
[1] https://exodus-privacy.org
[2] https://beta.pithus.org
[3] https://apkpure.com
[4] https://opensecurity.in
[5] https://virustotal.com
[6] https://www.appcensus.io
[7] https://www.appbrain.com
[8] https://appfollow.io
#privacy #android #mobile
APKPure.com
Download APK on Android with Free Online APK Downloader - APKPure
APKPure Free APK downloader for Android. Discover and update Android apps and games with APKPure APK online downloader for Android mobile devices.
Поскольку прошлая моя публикация про трекеры в мобильных приложениях наделала много шума, чего, в данном случае, у меня в планах не было. Давайте я буду заранее предупреждать о чём (или кто-нибудь ещё) напишу по этой теме. То что можно было сделать, но всего, либо руки не доходили, либо надо много сил и времени потратить:
Итак, список:
- юридический анализ условий использования приложений (государственных, предустанавливаемых, банковских или других списками). Подсказка - у некоторых госприложений вместо условий использования эдакий "черновичок", не то чтобы совсем пустой документ, но юридически ничтожный.
- динамический анализ приложений трудоёмкая такая работа, требует полноценного стенда или перепрошитых телефонов, но позволяет собрать инфу по всем подключениям ко всем серверам. Работает не идеально, потому что некоторые особо хитрые разработчики научились передавать под видом TLS трафика совсем другое, так, например, разработчики приложения Calm делают.
- углублённый анализ с декомпиляцией Android приложения - это почти всегда Java и там почти всегда можно что-то прочитать, хотя и многое подвергается обфускации. Но есть и программные библиотеки скомпилированные под разные платформы и идущие в связке с этими приложениями (кстати сама экосистема андроида очень неэффективная в части хранения и передачи данных). Это такая часть требующая повышенной аккуратности чтобы ничьи права не нарушить, но в этих библиотеках чего только нет. Даже без докомпиляции, к примеру, в библиотеку для работы с Яндекс картами вшиты ссылки на закодированные файлы в Dropbox и на Amazon AWS.
- персональные данные тут, на самом деле, надо объяснить что такое рекламный идентификатор устройства Андроид, идентификатор пользователя, цифровой фингерпринтинг и тд. А также показать на примерах как они собираются и куда передаются, и таких примеров много.
- инфраструктура коммерческой слежки а вот это отдельная и самая интересная тема, я не буду указывать на конкретного национального цифрового чемпиона у которого инфраструктура его трекера находится одноверменно в России и в Евросоюзе. И, внимание вопрос, как код этого трекера понимает на какой из серверов ему необходимо передавать данные и по каким критериям? Ответ на этот вопрос можно отложить на какое-то время, а можно кто-то догадается самостоятельно.
Как я уже писал ранее, то что ранее мы публиковали про трекеры в госприложениях и в предустановленных приложениях - это был самый что ни на есть поверхностный анализ, так что продолжение будет.
#privacy #mobile
Итак, список:
- юридический анализ условий использования приложений (государственных, предустанавливаемых, банковских или других списками). Подсказка - у некоторых госприложений вместо условий использования эдакий "черновичок", не то чтобы совсем пустой документ, но юридически ничтожный.
- динамический анализ приложений трудоёмкая такая работа, требует полноценного стенда или перепрошитых телефонов, но позволяет собрать инфу по всем подключениям ко всем серверам. Работает не идеально, потому что некоторые особо хитрые разработчики научились передавать под видом TLS трафика совсем другое, так, например, разработчики приложения Calm делают.
- углублённый анализ с декомпиляцией Android приложения - это почти всегда Java и там почти всегда можно что-то прочитать, хотя и многое подвергается обфускации. Но есть и программные библиотеки скомпилированные под разные платформы и идущие в связке с этими приложениями (кстати сама экосистема андроида очень неэффективная в части хранения и передачи данных). Это такая часть требующая повышенной аккуратности чтобы ничьи права не нарушить, но в этих библиотеках чего только нет. Даже без докомпиляции, к примеру, в библиотеку для работы с Яндекс картами вшиты ссылки на закодированные файлы в Dropbox и на Amazon AWS.
- персональные данные тут, на самом деле, надо объяснить что такое рекламный идентификатор устройства Андроид, идентификатор пользователя, цифровой фингерпринтинг и тд. А также показать на примерах как они собираются и куда передаются, и таких примеров много.
- инфраструктура коммерческой слежки а вот это отдельная и самая интересная тема, я не буду указывать на конкретного национального цифрового чемпиона у которого инфраструктура его трекера находится одноверменно в России и в Евросоюзе. И, внимание вопрос, как код этого трекера понимает на какой из серверов ему необходимо передавать данные и по каким критериям? Ответ на этот вопрос можно отложить на какое-то время, а можно кто-то догадается самостоятельно.
Как я уже писал ранее, то что ранее мы публиковали про трекеры в госприложениях и в предустановленных приложениях - это был самый что ни на есть поверхностный анализ, так что продолжение будет.
#privacy #mobile
Продолжая тему про государственные информационные системы, мобильные приложения, передачу данных третьим сторонам. Рассмотрим одно мобильное приложение от Минцифры в подробностях.
Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].
Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?
К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.
—
А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.
Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/
#privacy #mobile #apps #digital
Лидеры цифрового развития
Опубликовано в Google Play от Минцифры России [1], последний раз обновлялось 3 октября 2019 года.
В "политике кофиденциальности" указана ссылка на сайт самарской компании Eventicious [2] которая действительно, делает такие приложения для частного рынка и для разного рода госкомпаний по 223-ФЗ [3].
Особенность этих приложений в том что данные хранятся в России на серверах компании Ивентишес и тут возникает вопрос. А какой статус у этого приложения. Оно ГИС или не ГИС? Или оно часть услуги ? Если оно часть услуги, то почему приложение опубликовано от Минцифры РФ, если оно заказано как приложение (кстати, не могу найти контракт), то почему данные не хранятся на серверах Министерства или одного из его подведов?
К этим вопросам добавляется ещё один. В приложениях Eventicious есть код со ссылками на два сервиса за пределами РФ [4]. Это chat-prod.eventic.io с адресом в Ирландии и time.eventicious.com с адресом в Голландии.
—
А я напомню про наше исследование приватности в государственных мобильных приложениях [5] и ещё раз подчеркну что проблема чаще не в том что данные передаются за рубеж, а в двуличности государственной политики в этой области.
Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.ddl
[2] https://eventicious.com/privacy/#ru
[3] https://clearspending.ru/supplier/inn=6311151902&kpp=631101001
[4] https://beta.pithus.org/report/23bd9b1823cfa48ef9f3ee5abb48f30ec3f5671f22e3059614690915967003c5
[5] https://privacygosmobapps.infoculture.ru/
#privacy #mobile #apps #digital
Google Play
Лидеры цифрового развития - Apps on Google Play
Official App of the Digital Leaders Meeting
Вчера в интервью Росбалту [1] я постарался насколько возможно изложить все опасения по поводу того как данные собираются мобильными приложениям и в чём проблема регулирования/отсутствия регулирования в этой области.
Ох и сложно, конечно, выдерживать конструктивную критику, но я старался как мог.
Ссылки:
[1] https://www.rosbalt.ru/moscow/2021/04/13/1897113.html
#privacy #mobile
Ох и сложно, конечно, выдерживать конструктивную критику, но я старался как мог.
Ссылки:
[1] https://www.rosbalt.ru/moscow/2021/04/13/1897113.html
#privacy #mobile
Росбалт
Как смартфоны за нами следят
Мобильные приложения, обладая разрешениями подключаться к камере, контактам, журналу звонков могут стать опасными, отмечает директор АНО «Инфокультура» Иван Бегтин.