46% протестированных приложений использовали потенциально опасный SDK.
В связи с пандемией коронавирусной инфекции (COVID-19) родителям и учителям пришлось обратиться к цифровым альтернативам образовательных учреждений. Но как оказалось, специальные образовательные приложения отправляют конфиденциальные данные пользователей сотням рекламодателей.
Исследователи из Международного совета по цифровой отчетности (International Digital Accountability Council, IDAC) проанализировали 496 образовательных приложений в 22 странах и обнаружили проблемы с конфиденциальностью во многих программах. Некоторые приложения предоставляли данные о местоположении пользователей сторонним рекламодателям, а также собирали идентификаторы устройств.
79 из 123 приложений, протестированных вручную, обменивались пользовательскими данными с третьими сторонами. Данные, отправляемые рекламодателям, включали информацию об имени, адресе электронной почты, местоположении и идентификаторе устройства. Более 140 сторонних компаний получали данные от приложений для образовательных учреждений, большинство из которых отправлялись в Facebook, а затем в Google.
В ходе исследования 78 приложений для Android и 45 приложений для iOS было обнаружено 27 программ, которые собирали данные о местоположении. Некоторым была нужна эта информация — например, приложения для созвездий используют геоданные для анализа положения звезды в режиме реального времени. У других приложений были более сомнительные причины для сбора подобных данных, например, у приложений для изучения языков программирования, таких как JavaScript и SQL.
Пользователи могут сбросить рекламные идентификаторы Android и Apple, но сбросить идентификатор устройства можно только путем приобретения нового телефона. Политика Google не позволяет разработчикам собирать как рекламный идентификатор, так и идентификатор устройства, потому что брокеры данных могут просто связывать новые рекламные идентификаторы. В ходе ручного анализа было обнаружено девять приложений, которые собирали и передавали эти данные сторонним рекламодателям. Каждое из них было установлено как минимум на 10 млн устройств. Например, популярное приложение для изучения языков Duolingo делится идентификаторами Android и рекламными идентификаторами с Facebook.
По результатам исследования также стало известно, что 46% протестированных приложений использовали «потенциально опасный» SDK. Он собирает данные в фоновом режиме без ведома пользователя.
Одно найти легче, чем другое. Спойлер: это не темная материя