Что касается приложений, Android возглавляет список с почти 3 миллионами приложений в официальном магазине Google Play. Огромный объем также означает, что иногда ненадежные приложения проскальзывают сквозь трещины.
Исследователи из Международного совета по цифровой отчетности (IDAC), некоммерческой наблюдательной организации, базирующейся в Бостоне, обнаружили, что недавно было обнаружено, что трио популярных и, казалось бы, невинно выглядящих приложений, предназначенных для молодых пользователей, нарушают политику сбора данных Google и потенциально могут получить доступ номера Android ID пользователей и AAID (Android Advertising ID), при этом утечка данных может быть связана с приложениями, созданными с использованием SDK от Unity, Umeng и Appodeal.
В совокупности у приложений было более 20 миллионов загрузок.
подтвердил нам, что он удалил приложения после того, как IDAC обратил его внимание на нарушения.
«Мы можем подтвердить, что приложения, упомянутые в отчете, были удалены», – сказал представитель Google. «Каждый раз, когда мы обнаруживаем приложение, которое нарушает наши правила, мы принимаем меры».
Нарушения указывают на более широкую озабоченность подходом трех издателей к соблюдению политик защиты данных. «Практика, которую мы наблюдали в нашем исследовании, вызвала серьезную озабоченность по поводу практики обработки данных в этих приложениях», – сказал президент IDAC Квентин Палфри.
Этот инцидент освещается в то время, когда большое внимание уделяется Google и масштабам его деятельности. Ранее на этой неделе Министерство юстиции США и 11 штатов подали в суд на компанию, обвинив ее в монополистическом и антиконкурентном поведении в поисковой рекламе.
Чтобы было ясно, нарушения приложений здесь не связаны с поиском, но они подчеркивают масштабы работы Google и то, как даже небольшие оплошности могут привести к поражению десятков миллионов пользователей. Они также служат напоминанием о проблемах, связанных с упреждающим отслеживанием отдельных нарушений в таком масштабе, и о том, что эти проблемы могут оказаться в особенно рискованной области: как несовершеннолетние используют приложения.
По крайней мере, в случае двух издателей, Creative APPS и Libii Tech (чьи приложения построены на основе персонажей, показанных в верхней части этой истории), другие приложения все еще работают. Кроме того, похоже, что версии приложений также можно загрузить через сайты APK (например, этот). Существуют также версии для iOS (например, здесь), но Палфри сказал, что не оценивал версии iOS, поэтому неясно, имеют ли они аналогичную утечку данных.
Нарушение в этом случае является сложным, но является примером одного из способов, которым пользователи могут неосознанно отслеживаться через приложения.
Указывая на закулисную деятельность и обработку данных, которые загружаются в невинно выглядящие приложения, IDAC выделил три SDK, которые, в частности, использовались разработчиками приложений: Unity 3D и игровой движок, Umeng (аналитический поставщик, принадлежащий Alibaba, известный как «Flurry of China», который некоторые называют также поставщиком рекламного ПО) и Appodeal (еще один провайдер монетизации и аналитики приложений) – как источник проблем.
Палфри объяснил, что проблема заключается в том, как данные, к которым приложения могли получить доступ через SDK, могли быть связаны с другими видами данных, такими как информация о геолокации. «Если информация AAID передается вместе с постоянным идентификатором [such as Android ID] возможно, что меры защиты, которые Google вводит для защиты конфиденциальности, будут перекрыты », – сказал он.
IDAC не указал нарушения во всех SDK, но отметил в одном примере, что определенные версии SDK Unity собирали одновременно AAID и Android ID пользователя, и это могло позволить разработчикам «обойти контроль конфиденциальности и отслеживать пользователей с течением времени. и на разных устройствах “.
IDAC описывает AAID как «паспорт для объединения всех данных о пользователе в одном месте». Это позволяет рекламодателям настраивать таргетинг рекламы на пользователей на основе сигналов о предпочтениях, которые может иметь пользователь. Пользователь может сбросить AAID. Однако, если SDK также предоставляет ссылку на пользовательский Android ID, который является статическим числом, он начинает создавать «мост» для идентификации и отслеживания пользователя.
Палфри не стал вдаваться в подробности о том, может ли он определить, сколько данных было фактически получено в результате выявленных нарушений, но Google сказал, что он продолжает работать над партнерскими отношениями и процедурами для выявления похожих (преднамеренных или иных) злоумышленников. .
«Одним из примеров работы, которую мы здесь делаем, является программа сертификации семейной рекламы, о которой мы объявили в 2019 году», – сказал пресс-секретарь. «Для приложений, которые хотят показывать рекламу в детских и семейных приложениях, мы просим их использовать только рекламные SDK, которые самостоятельно сертифицированы в соответствии с политиками для детей / семей. Мы также требуем, чтобы приложения, предназначенные исключительно для детей, не содержали никаких API или SDK, которые не одобрены для использования в службах, предназначенных для детей ».
IDAC, который был запущен в апреле 2020 г. в качестве спин-оффа форума Future of Privacy Forum, также провел расследования нарушений конфиденциальности данных в приложениях для фертильности и трекерах Covid-19, а ранее на этой неделе он также опубликовал результаты об утечке данных из более старых версия TwitterSDK MoPub влияет на миллионы пользователей.