Приватность государственных мобильных приложений в России [1] - свежее исследование от команды @infoculture. Мы проверили 44 государственных мобильных приложения в которых 39 из них содержат код сторонних трекеров и 38 из них содержат код сторонних трекеров с юрисдикциями в США и Японии. Почитайте подробнее там, много интересного.

Об этом я сегодня буду говорить на Privacy Day, презентацию можно посмотреть по ссылке [2], а также вышла статья в РБК с комментариями представителей Минцифры и ДИТ Москвы [3]

И здесь мне тоже есть что добавить:
1. Конечно же речь идёт не только о "технических сервисах" вроде Google Firebase и Firebase Crashlytics. Многие трекеры являются совершенно необязательными и более похоже что их включили не по злому умыслу, а для удобства разработки и аналитики. Не подумав, в общем, что, впрочем, ответственных за них не оправдывает. Это такие сервисы как HockeyApp, Estimote, Flurry, AltBeacon и другие.
2. Если верить коллегам что без сервисов Google в экосистеме Android работать невозможно, то мы же понимаем что импортозамещение в этой области это просто профанация? Получается что есть экосистемные требования и у Правительства РФ нет другого пути кроме как с Google договариваться в будущем.
3. Все кто делают коммерческие мобильные приложения которые передают данные в зарубежные сервисы теперь знают что и госорганы поступают аналогично
4. Есть как минимум 5 госприложений в которых нет ни одного встроенного трекера, например, "Госуслуги.Дороги". То есть если очень хочется то можно создавать приложения и без слежки. Так почему же не всем и не всегда хочется?;)
5. Конечно, прежде чем публиковать материалы онлайн, очень хотелось бы вести профессиональный дискурс о вопросах приватности, безопасности, свободы и ограничений использования цифровых сервисов. Но вот не работает механизм дискуссий вокруг смысловых документов в России. Их приходится адаптировать под формат который был бы понятен и удобен СМИ, иначе обратной реакции от органов власти просто не возникает.
6. При этом всё очень конструктивно. У нас очень понятные рекомендации для регуляторов, контролёров, разработчиков и пользователей.
7. Это не последний обзор по этой теме, если есть какие-то приложения которые мы упустили, а они наверняка есть, то пишите, все подвергнем тщательной вивисекции.

P.S. Конечно результаты доступны и как открытые данные.
- Приложения и трекеры иностранных юрисдикций [3]
- Выборка исследуемых госприложений [4]
- Данные о трекерах госприложений [5]
- Сводные собранные данные по всем госприложениям [6] (трекеры, разрешения и т.д.)

Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://www.beautiful.ai/player/-MS6JaKYDpr8q1UCAjmA
[3] https://ngodata.ru/dataset/apps-trackers-jurisdiction
[4] https://ngodata.ru/dataset/gos-mobile-apps
[5] https://ngodata.ru/dataset/gos-apps-trackers
[6] https://ngodata.ru/dataset/gos-full-csv

#privacy #infoculture #mobileapps

В продолжение про трекеры в приложениях обязательных к предустановке:
1. Если для кого-то было сюрпризом, то я, если что, предупреждал об этом ещё 2 месяца назад что к 1 апреля я (или не я, а кто-то), но такой анализ будет проведён. Вот он и был проведён и все были предупреждены;)
2. Из разработчиков приложений отреагировали только из Яндекс.Браузера что там нет пары трекеров InMobi и Flurry и это ошибка в Exodus Privacy. Такое возможно, и сервис мог ошибится в идентификации, а на самом деле это Facebook Analytics. Кардинально это ситуацию не меняет.
3. Да, наличие кода SDK не даёт гарантии что данные передаются, а только указывают на принципиальную возможность и наличие кода для этого. Но, надо понимать, что реально передаётся больше данных. Потому что статический анализ кода не учитывает код написанный разработчиками без SDK и не учитывает то какие данные и в каком объме собираются самим владельцем приложения. Иначе говоря, наличие кода SDK из рынка AdTech - это достаточный повод чтобы "подозревать разработчика приложения во всех грехах связанных с возможным применением этого кода".

А в остальном я ещё раз хочу повторить мысль. Пока предустановка приложений не была обязательной, то что пользователь ставит себе на телефон - это его ответственность. А с того момента как список приложений был определён - это ответственность Минцифры и Правительства РФ которые всё это регулирование ввели. А ведь можно было бы сделать всё совсем по другому, но решили так поддержать мировый рынок AdTech. Почему бы и нет, в самом деле, ведь у нас "люди - это новая нефть" (иронично).

#privacy #mobileapps

Поскольку с сегодняшнего утра невероятный бум публикаций, вначале со ссылкой на исследование о трекерах, потом с опровержениями со стороны Яндекса, Mail.ru и Минцифры и все пишут и комментируют что никаких данных не передаётся, всё это техническая информация просто для удобства разработчиков. Ребята, я не понимаю зачем Вы это делаете и вот так подставляетесь, честно. Я ведь всегда пишу по простому сценарию:
- вбрось достаточно информации, чтобы все обсуждали, но не всё
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства

Я могу, безусловно, указать на конкретные условия использования конкретных сервисов, могу показать записи трафика со структурой передаваемых данных, могу показать на вполне конкретные результаты находок европейских и других регуляторов которые проводили анализ приложений включающих эти или аналогичные трекеры в рамках регулирования AdTech рынка.

Конечно же всё это есть и конечно же я не буду сразу это предъявлять, для всего нужен хороший момент. Вот к 1 апреля был хороший повод, я о нём предупреждал за 2 месяца. Я вообще веду себя даже чересчур предупредительно, не делаю ничего неожиданного, предупреждаю обо всё очень заранее. Даже непривычно как-то;)

Вот и тут ситуация такая же, будет свежий повод в течение ближайших месяцев, а я думаю он появится к июлю-августу, то и будет продолжение темы.

Только журналисты уже будут писать об этом в риторике: "Ранее Яндекс и Mail.ru отрицали передачу персональных данных" или "Ранее Минцифры отрицали передачу персональных данных россиян предустановленным ПО".

И снова я повторю одну и ту же мысль. Пока рынок AdTech существовал сам по себе - каждый гражданин сам нёс ответственность. Когда туда пришёл регулятор в лице Минцифры, то не надо увиливать, несите ответственность за то что вы требуете ставить на телефоны граждан. Не к Яндексу и не к Mail.ru и к другим претензии, а к тем кто обязал ставить их ПО на смартфоны в обязательном порядке.

#privacy #mobileapps

Для тех кто анализирует мобильные приложения, напомню про инструменты которые используются в этой задаче.

Инструменты анализа мобильных приложений (Android)
- Exodus Privacy [1] французская НКО создающая одноименную базу и инструменты сбора сведений о трекерах встраиваемых в мобильеные приложения. Их сервис и программы анализируют .dex файлы в .apk файлах для Android'а и выявляют сигнатуры кода относящегося к трекерам.
- AppCensus [2] стартап из кремниевой долины с фокусом на динамический анализ приложений. Приложения устанавливаются на реальное устройство и замеряется то к каким сервисам они обращаются и что передают
- Mobile Security Framework [3] продукт с открытым кодом для локальной проверки мобильных приложений для Android'а. Умеет декомпилировать, проводить анализ разрешений, компонентов, безопасности приложения. Интегрирован с Exodus Privacy и ещё много чего умеет
- ICSI Haystack Project [4] проект по мониторингу мобильных приложений с академическим уклоном от Data Transparency Lab. Включает много наборов данных и мобильное приложение Lumen для отслеживания того куда приложения обращаются.

Как бороться с мобильной слежкой ? С помощью приложений создающих VPN соединения блокирующие обращения к сайтам трекеров.

Приложения для блокировки
- Blockada [5] бесплатное приложение с открытым кодом и расширенными возможностями для тех кому нужен VPN как VPN, а не просто резка трекеров.
- NextDNS [6] коммерческий сервис DNS серверов с возможностью отслеживать и фильтровать запросы к DNS со стороны собственных устройств. Может как вести журнал и предоставлять его пользователю, так и наоборот обеспечивать анонимность. Режет большое число трекеров и подключает множество блоклистов. Работает не только с устройствами Android, но и со многими другими.

Ссылки:
[1] https://exodus-privacy.eu.org/
[2] https://appcensus.io
[3] https://github.com/MobSF
[4] https://www.haystack.mobi/
[5] https://blokada.org/
[6] https://nextdns.io

#privacy #mobileapps #apps

Как многие наверняка уже слышали и читали в США Верховный суд отменил решение запрещающие отдельным штатам вводить запреты абортов на поздней стадии. Это обычно упоминают в СМИ как "Верховный суд запретил аборты", но суть не меняется, во многих штатах США уже сейчас такие аборты оказались под запретом.

И здесь немедленно возник вопрос приватности тех кто ходит в клиники абортов, уже известно что Google начал скрывать информацию о посещении клиник пользователями устройств с Андроид [1].

Но всё не ограничивается только сервисами Google. Очень многие женщины в США пользуются мобильными приложениями для отслеживания менструальных циклов и беременности и, внимание, оказалось что данные в этих приложениях не подпадают под Health Insurance Portability and Accountability Act (HIPAA) [2] закон о защите данных о здоровье граждан.

Сейчас многие эти приложения удаляют опасаясь что информация из них может быть истребована полицией или судьями.

У этой истории есть много отражений о которых стоит подумать.
1. Технологические компании живут по критериям собственного понимания морали, а не помощи полиции/судьям. Решение Google - это ровно о том чтобы избежать возможности помощи правоохранителям которые могли бы заказать такие данные.
2. Приватность приложений (сбор данных) сейчас во многом определяется магазинами приложений. К вопросу о российском магазине приложений который вот-вот должен запуститься. А что там с приватностью? А что будет если российские законодатели пойдут, также, по пути запрета абортов?

Ссылки:
[1] https://www.washingtonpost.com/technology/2022/05/04/abortion-digital-privacy/
[2] https://www.washingtonpost.com/technology/2022/05/07/period-tracking-privacy/

#privacy #mobileapps

При всех недостатках Google Play в виде [почти] монопольной платформы для распространения приложений в экосистеме Андроид, лично я к инициативе обязательности установки RuStore на телефоны в России [1] отношусь крайне отрицательно.

Помимо нерыночности, того что у него нет инструментов для разработчиков сравнимых с другими сторами, самым главным является то что там нет никаких механизмов контроля приватности. Типичная страница в RuStore выглядит вот так [2].

Там нет ни списка разрешений приложения, ни ответственности разработчика, ни, даже, декларации разработчика о добровольных обязательствах вроде формы Data safety.

Хотя многое из этого можно было бы реализовать и не то чтобы с коллосальными усилиями. Расширенная информация о приложениях есть в магазине F-Droid [3], с указанием перечня разрешений.

И, наоборот, её нет в китайском Huawei AppGallery [4].

Видимо российские создатели национального магазина приложений решили пойти по китайскому пути.

Но суть даже не в этом. Устанавливая требования обязательства установки приложения уже не только разработчик, но и Минцифра РФ берет на себя ответственность за то как и в каком объёме оно за Вами следит, берёт ответственность за утечки данных из него и вред наносимый нарушением приватности.

А в случае RuStore он, де-факто, превращается в государственный магазин приложений (да и VK уже почти госкорпораций, чего-уж тут) и тем самым Минцифра вместе с VK будет нести ответственность за все те приложения которые будут там одобрены и осуществляют слежку за гражданами.

Кстати, если Вы думаете что с уходом госкорпораций из России следящих трекеров зарубежных сервисов в российских приложениях стало меньше, то нет, не стало. Откройте какое-нибудь приложение Сбербанка и условия использования метрических программ, где явно указана трансграничная передача данных в Google и AppsFlyer.

А что будет если проверить все приложения в RuStore? А будет хороший расследовательский материал о том как будущая российская госкорпорация VK помогает международным big tech компаниям (читай спецслужбам) следить за россиянами не проверяя приложения на трекеры. Я тут сознательно утрирую, но, смысл от этого не меняется, протаскивать под маркой импортозамещения инструменты слежки - это очень хреновая история.

Так что кто-то явно живёт по принципу: война-войной, а слежка по расписанию (c)

Ссылки:
[1] https://www.vedomosti.ru/technology/articles/2022/07/21/932444-rustore-predlozhili-sdelat-obyazatelnim-dlya-predustanovki
[2] https://apps.rustore.ru/app/ru.rostel
[3] https://f-droid.org/ru/packages/org.tasks/
[4] https://appgallery.huawei.com/app/C101280309

#privacy #digital #android #sberbank #mobileapps

Если Вы используете <что угодно>, то за Вами следят

Скоро это будет универсальным заголовком, потому что экономика слежки, surveillance capitalism, также называемая надзорным капитализмом устроена так что даже если Вы ничего не имеете и никому не нужны за Вами всё равно следят, а если тратите и деньги у Вас есть, то следят гарантированно и повсеместно.

Свежая новость, ТикТок поймали на слежке через браузер встроенный приложение [1], собственно не только ТикТок, но и многие другие встраиватели браузеров в аппы стали внедрять в просматриваемый HTML код возможность отслеживания действий пользователей.

Но ТикТок пошёл дальше всех и начал отслеживать вообще ВСЕ действия который пользователь делал при открытии страницы: нажатые клавиши и тд. Поймали это с помощью сервиса InAppBrowser.com который можно открыть в одном из приложений на iPhone и убедиться в том что код внедрен в тело страницы. Таким же образом недавно поймали Meta [2] ровно на том же самом.

Для тех кто хочет технических подробностей, автор находок Felix Krause рассказывает о них у себя в блоге [3]

Ссылки:
[1] https://www.forbes.com/sites/richardnieva/2022/08/18/tiktok-in-app-browser-research/
[2] https://www.theguardian.com/technology/2022/aug/11/meta-injecting-code-into-websites-visited-by-its-users-to-track-them-research-says
[3] https://krausefx.com/blog/ios-privacy-instagram-and-facebook-can-track-anything-you-do-on-any-website-in-their-in-app-browser

#privacy #mobileapps #facebook #tiktok

Результаты свежего исследования Инфокультуры с анализом приватности (читай - слежки) 1014 мобильных приложений для Android опубликованных в магазине приложений RuStore.

Мы работали над ним около месяца, анализируя все опубликованные приложения на предмет тех разрешений которые затребуют на устройствах пользователей и наличия в них кода специальных библиотек (трекеров) используемых для слежки за потребителями.

Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами.

Выводы [не]удивительные:
- большая часть приложения включает трекеры, требуют больше разрешений чем им реально может быть нужно, а сам магазин приложений не имеет стандартов верификации.
- большая часть приложений передают данные компаниям в юрисдикциях которые Правительство РФ называет "недружественными"
- даже госприложения включают трекеры, например компании Google, передающие данные о гражданах в другие страны и в BigTech корпорации

44 госприложения мы анализировали в прошлом году, но в этот раз решили подойти масштабнее и проанализировали 1014 приложений всех категорий. Было это дольше, но не менее увлекательно.

С результатами исследования мы публикуем все данные в CSV и исходный код по их подготовке [2].

Если будут сложности самостоятельного анализа данных в CSV и если Вы журналист или исследователь, хотите сделать собственную визуализацию или материал, свяжитесь с нами на infoculture@infoculture.ru, мы поможем․

Ссылки:
[1] https://rustoreprivacy.infoculture.ru
[2] https://github.com/infoculture/rustore-privacy/

#privacy #infoculture #android #mobileapps

Продолжая тему приватности мобильных приложений. Есть стартапы создающие мобильные приложения, а есть стартапы помогающие отслеживать нарушения приватности в этих приложениях. Например, Privado [1] предоставляют сервис отслеживания обработки чувствительных данных в приложениях для Android'а через сканирование исходного кода. Проверить код можно скачав их open source сканер [2] и запустив с параметром 'privado scan <folder name>'.

Я его проверял на швейцарском государственном приложении отслеживания COVID-19 swisscovid-app-android [3].

Из плюсов - он работает
Из минусов - только с Java кодом, не поддерживается приложения на Javascript или Kotlin не говоря уже о Flutter и тд.
Из странностей - ложные срабатывания. Например, срабатывает на обработку высоты изображения как рост человека height, хотя в коде видно что срабатывание неверное.

Приложение хотя и open source, но будьте осторожны, результаты оно постит сразу на сайт community.privado.ai, то есть открытый код, но с зависимостью от облачного сервиса.

Главная фишка - генерация Data Safety манифеста для Google Play. Иначе говоря, автоматизация комплаенс процедуры для приложений Android.

Продукт интересный, буду наблюдать за его развитием. Может быть он сможет работать и с декомпилированным кодом или сам научится декомпилировать DEX файлы? А может у него появятся конкуренты.

Ссылки:
[1] https://www.privado.ai/
[2] https://github.com/Privado-Inc/privado
[3] https://github.com/SwissCovid/swisscovid-app-android

#mobileapps #privacy #android #security

О том что Apple удалили из магазина приложений все приложения связанные с холдингом VK, это все, наверняка, уже прочитали. Вроде как ещё не удалили приложение Одноклассников, но если удаление было из-за санкций, то это вопрос только времени. Пока видно что в Google Play приложения MailRu Group остались, но, опять же, если удаление из-за санкций, то вероятность их исчезновения велика.

Правда для Android'а есть RuStore по приватности приложений в котором мы делали исследование совсем недавно и, если кратко, всё там даже хуже чем в Google Play.

Но я о другом. Много лет я пишу и два исследования мы провели о том что во многих приложениях содержатся внешние трекеры позволяющие третьим сторонам получать данные действий пользователей. В лидерах распространения таких трекеров глобальные рекламные корпорации вроде Facebook и Google, но, в России тоже есть свои игроки. Один из крупнейших из которых теперь холдинг VK.

Например, во многих приложениях стоят трекеры myTracker и myTarget от MailRu Group. В проекте Exodus Privacy посчитано 1281приложение с myTracker и 2826 с myTarget , но в реальности их гораздо больше. Кроме этих рекламных трекеров многие разработчики интегрируют SDK для авторизации во Вконтакте, есть как минимум 845 таких приложений. Всё это про приложения для Android, но SDK myTarget, myTracker и VKontakte есть и для iOS.

А теперь, внимание, вопрос․ Будут ли следующим шагом платформы Apple и Google предупреждать авторов приложений использующих трекеры VK о том что их приложения могут могут быть удалены из магазинов приложений если они этот код из приложений не уберут?

Следующим постом я запилил опрос на ту же тему.

#privacy #security #vk #mobileapps #trackers #android #apple