Воровство персональных данных пользователей приложениями Android и iOS

Зачастую делая это без всяких уведомлений, как утверждается в выводах недавно опубликованного исследования, изучившего работу 110 приложений.

Исследователи проанализировали работу 55 самых популярных приложений с обоих площадок и обнаружили, что значительная часть из них регулярно предоставляют Google, Apple и другим третьим сторонам адреса электронной почты пользователей, их имена и адрес местонахождения. Приложения для Android отправляют данные, которые можно считать конфиденциальными, в среднем 3,1 сторонним доменам, в то время как приложения iOS посылают такую информацию 2,6 сторонним доменам.

«Результаты этого исследования указывают на то, что нынешние разрешительные системы для iOS и Android ограничены по полноте информирования пользователей о совместном использовании данных, которое происходит на самом деле, — пишут авторы исследования. —  Приложениям для Android и iOS сегодня не требуется отправлять уведомление с запросом на разрешение ввода такой информации о пользователе, как идентифицирующие личность данные и данные о поведенческой деятельности».

Персональные данные, которые чаще всего передаются приложениями Android, это адреса электронной почты пользователей — этим занимаются 73 процентов исследованных приложений. В общей сложности 49 процентов приложений Android отправляют имена пользователей, 33 процента – их текущие координаты GPS, 25 процентов — адреса, и 24 процента – международный идентификационный номер мобильного устройства IMEI или другие данные. Приложение для Drugs.com, тем временем, посылает такие медицинские термины, вводимые пользователями, как «герпес» и «интерферон» пяти доменам, в том числе doubleclick.net, googlesyndication.com, intellitxt.com, quantserve.com и scorecardresearch.com, хотя эти домены не получают никакой другой личной информации.

Также вызывает беспокойство приложения Android, отправляющие третьим сторонам важные наборы данных. Facebook, например, получает имена и местоположение пользователей из семи приложений, проверенных исследователями – American Well, Groupon, Pinterest, RunKeeper, Tango, Text Free и Timehop. Домен Appboy.com получает данные из приложения под названием Glide.

Исследователи также заметили, что 51 из 55 проверенных программ подключаются к домену safemovedm.com. с непонятной целью.

Пресс-служба Google не предоставила никакой информации об этом домене и не объяснила, зачем операционная система подключается к нему.

Приложения iOS, тем временем, чаще отправляют третьим лицам текущее местоположение пользователя – этим грешат 47 процентов исследованных приложений. В общей сложности 18 процентов приложений отправляют имена пользователей, а 16 процентов — адреса их электронной почты. Приложение Pinterest отправляет имена пользователей четырём сторонним доменам, в том числе yoz.io.facebook.com, crittercism.com и flurry.com.

Несколько приложений делятся другой конфиденциальной информацией. Например, Period Tracker Lite, отслеживающий менструальные циклы, передаёт такие вводимые пользователем симптомы, как «бессонница», на apsalar.com, в то время как приложения для поиска работы из Indeed.com и Snagajob делятся такими вводимыми данными о специальности, как «медсестра» и «автомеханик», с четырьмя доменами, в том числе 207.net, healthcareresource.com, google-analytics.com и scorecardresearch.com.

Единственное, что могут сделать пользователи, чтобы защитить себя от разглашения персональных данных, советуют исследователи, это передавать ложные сведения о себе, когда это возможно, в ответ на запросы приложений.