Google предупредила разработчиков приложений для Android, что программы, которые скрывают политику конфиденциальности возможно будут стёрты из магазина Google Play после 15 мая 2017. Как пишет The Next Web, в магазине недовольны, что владельцы приложений не сообщают, с какой целью они запрашивают разрешение на доступ к персональной информации и не объясняют, как она будет храниться. Последний скандал с персональными данными случился пару недель назад. В январе 2017 года в шпионаже за пользователями заподозрили популярное приложение Meitu. Средство для стилизации портретов потребовало у пользователей доступ к телефонному номеру, информации о звонках, геолокации, а также к памяти телефона, приложение распространялось и под Andorid, и в AppStore Apple для iPhone.
Приложения из Google Play регулярно попадают в истории о доступе к персональным данным на сомнительных основаниях. В январе 2017 года исследователи опубликовали статистику о 283 мобильных приложениях с реализаций функций VPN из Google Play. Больше чем для половины, для 67% из исследованных приложений, их владельцы пообещали в описаниях повышенную защиту частных данных. Одновременно в 82% случаев приложения попросили при установке права доступа к ресурсам, содержащим такие как подробности о пользователе, как параметры его учётной записи или текстовые сообщения абонента, сообщал Opennet.
Громкий скандал произошёл летом 2016 года, когда в Google Play вернулась китайская клавиатура «шпион» — до удаления её установили минимум 50 миллионов раз. От других программ для набора текстов или эмоджи Flash Keyboard отличалась тем, что запрашивала ненужные альтернативным клавиатурам: доступ к камере устройства, оповещениям почтовой системы, локационным данным GPS и Wi-Fi, просила разрешение на ликвидацию фоновых процессов, а при работе отправляла некие данные на серверы в США, Нидерландах и Китае. В 2014 году обвинение в злоупотреблениях получил сам Google. Национальная комиссия по свободе информации Франции (CNIL) заявила: «Информация об использовании персональных данных, которую предоставляет Google, недостаточна и неполна. Такие данные, полученные компанией через один из своих сервисов, в дальнейшем без каких-либо оснований используются и в других сервисах, что нарушает права пользователей интернета».
Персональные данные пользователей можно использовать в благих целях, не использовать вообще, и можно продавать. В декабре 2016 года директор компании Cambridge Analytica Александр Никс, которому приписывают участие в блистательной онлайн-компании кандидата в президенты США Дональда Трампа, объяснил: «фирма закупает персональные данные из всех возможных источников: кадастровые списки, бонусные программы, телефонные справочники, клубные карты, газетные подписки, медицинские данные. В США возможно купить почти любые персональные данные. […] Затем Cambridge Analytica скрещивает эти данные со списками зарегистрированных сторонников [… партий] и данными по лайкам-репостам в Facebook — вот и получается личный профиль […] Из цифровых данных вдруг возникают люди со страхами, стремлениями и интересами — и с адресами проживания».
Добавить 9 комментариев
Каким миллионам, если в GPlay всего ~1,5 млн приложений?
Да бред, если я решу поставить приложение от гугла с разрешениями на всё, то мне уже точно не будет волновать, что там в пользовательском соглашении. Стремления гугла ни к счему, лучше бы сделали запрет приложениниям лезть не туда, как в айфонах.
Кстати, а если в афоне приложение спрашивает доступ к фото/местоположению, то у меня подозрение, что тот же номер телефона оно видит по умолчанию и не спрашивает. Так ли это?
Стремление гугла логично. Если не подстраховаться, то рано или поздно полиция озлобленных на Google стран придёт в Google и заявит, что в утечках через разнообразные там Meitu и Flash Keyboard виноваты… владельцы магазина. Так как они де-юре и де-факто никаким образом не требовали разработчиков объясняться о целях доступа к личной информации абонентов. Даже, скорее, наоборот. Каждое приложение достоверно не проверишь, но каждое приложение, собирающее 50 миллионов жертв или попадающее в новости, можно легко проверить раз двадцать, даже со скромными ресурсами Google. Но их никто не проверял и об утечках жертвы узнавали из СМИ.
P. S. Модное в моём маленьком городе приложение вызова такси (это не Uber, не Яндекс.Такси, а наоборот, локальный феномен) требует при установке предоставить ему доступ ко всему вообще. Не знаю, есть ли у него уже жертвы. Но весьма очевидно, что человек, получивший доступ на телефоны всех земляков в маленьком городе — это вовсе не начальник таксистов. Это демиург!
>тот же номер телефона оно видит по умолчанию и не спрашивает. Так ли это?
Нет, не так. Говоря образно, данные в смартфоне лежат не в одном запертом ящике, а в комоде с множеством ящиков под разными замками.
> Но их никто не проверял и об утечках жертвы узнавали из СМИ.
Насколько я понимаю, проверка прав доступа осуществляется автоматически, и они даже перечислены на странице приложении Google Play. Вопрос в том, что ты соглашаешься со всем этим списком прав автоматически, когда устанавливаешь приложение, без возможности запретить некоторые пункты, которые ты не хочешь раскрывать. Ну и в том, что никому было не интересно насколько эти разрешения действительно нужны приложению для работы.
Справедливости ради. В Android 6.0 сделано как у яблока, при установке пишется какие нужны права приложению (как было), а при попытке доступа выходит запрос на подтверждение прав, можно разрешить доступ или запретит.
>локальный феномен) требует при установке предоставить ему доступ ко всему вообще.
Ну что поделаешь, надо же им базу накапливать :) Так-то я их понимаю.
>Справедливости ради. В Android 6.0 сделано как у яблока, при установке пишется какие нужны права приложению (как было)
Ну наконец-то! :D Не то чтобы я прямо параноик, но всё же.
Не совсем так у старых приложений всё будет по старому
If the device is running Android 5.1 or lower, or **your app’s target SDK is 22** or lower: If you list a dangerous permission in your manifest, the user has to grant the permission when they install the app; if they do not grant the permission, the system does not install the app at all.
Но их можно будет потом, когда уже может быть поздно, отобрать
Note: Beginning with Android 6.0 (API level 23), users can revoke permissions from any app at any time, even if the app targets a lower API level. You should test your app to verify that it behaves properly when it’s missing a needed permission, regardless of what API level your app targets.
Однако, даже разрешение пользователем отдельных permissionов, не спасает запросил один раз по законному случаю — пользуйся сколько хочешь. Или можно создавать приложения двойного назначения по типу «клавиатура смайликов» и «keylogger» в одном.
Это в общем-то общая беда privacy в эпоху интернет. Есть множество желающих и имеющих средства это privacy нарушить. Но нет ни одного игрока предлагающего это privacy сохранять.
Ну и мало кто из нормальных людей будет в эти запросы permissionов вчитываться. Будут поскорее нажимать allow, чтобы вернуться к надоям поросят. А так да, гики в безопасности.
То есть вот такой отправляешь сообщение в facebook или instagram, а тебе ответ — «твое местоположение, телефонная книжка, список SMS и мотоцикл», а иначе отправить нельзя. Где граница, когда ты скажешь нет не буду отправлять?