Образовательный парадокс: чем умнее приложение, тем уязвимее пользователь?

Исследование Cybernews показало , что популярные образовательные приложения, такие как Coursera, Duolingo, Moodle и Udemy, имеют доступ к личным данным пользователей. Технологии активно внедряются в образовательный процесс в школах и университетах, при этом поколение Z становится основным двигателем этого процесса. Однако, вместе с удобством использования приложений, возникает вопрос о защите персональных данных.

Сектор образовательных приложений демонстрирует стремительный рост. По данным Business of Apps, в 2023 году 709 миллионов человек использовали обучающие приложения, что принесло доход в размере 5,93 миллиарда долларов. Неудивительно, что образовательный сектор занимает второе место по популярности в Google Play Store и третье в Apple App Store.

Однако за удобство и интерактивность обучения пользователи могут расплачиваться своей приватностью. Команда Cybernews провела исследование топовых образовательных приложений и обнаружила, что многие из них запрашивают доступ к конфиденциальным данным пользователей.

Методология исследования включала анализ 25 популярных обучающих приложений с миллионами загрузок в Google Play Store. Эксперты оценивали, какие разрешения запрашивают приложения и какие последствия для приватности могут возникнуть. Google объясняет, что разрешения в Android помогают пользователям контролировать, какие данные и функции на их устройстве могут использовать приложения, что обеспечивает дополнительную защиту личной информации.

В идеале разработчики должны запрашивать только те разрешения, которые необходимы для функционирования приложения. Однако результаты предыдущих исследований Cybernews, в том числе на примере приложений для авиакомпаний и планирования путешествий, показали, что это правило не всегда соблюдается. Пользователям стоит внимательно относиться к разрешениям, особенно к тем, которые касаются доступа к личной информации, например, к местоположению, камере, контактам или хранилищу данных.

Хотя сам доступ к данным не обязательно ведет к их неправомерному использованию, всегда существует риск. Команда Cybernews обратилась к разработчикам приложений с вопросом, зачем их программам требуются такие разрешения, но ответов не получила.

Исследование выявило «чемпионов» по количеству запрашиваемых конфиденциальных разрешений. Лидером стало приложение Remind из Сан-Франциско, предоставляющее услуги связи для школ. Оно запрашивает 12 конфиденциальных разрешений. За ним следуют платформа онлайн-обучения Coursera (11 разрешений), AI-помощник для домашних заданий Question.AI (10), системы управления курсами Moodle (10) и ClassDojo (9).

Фото: Cybernews

Камера стала одним из наиболее часто запрашиваемых компонентов устройств. Доступ к камере позволяет приложениям снимать фото, записывать видео и проводить видеозвонки, что облегчает создание контента и взаимодействие с приложением. Для образовательных целей камера используется, например, для создания снимков, которые можно загрузить в приложение. Однако, если доступ к камере будет скомпрометирован, злоумышленники смогут получить возможность несанкционированного использования камеры и микрофона. В общей сложности 17 протестированных образовательных приложений имеют доступ к камере:

Фото: Cybernews

Пять приложений, включая Coursera и Duolingo, запрашивают избыточные и потенциально опасные разрешения на доступ к учетным записям на устройстве. Такой доступ позволяет приложению получать список зарегистрированных на устройстве аккаунтов, например, Google, Meta и Samsung. Информация об учетных записях может содержать конфиденциальные данные, включая адреса электронной почты, имена пользователей и идентификаторы аккаунтов.

Приложение Duolingo запрашивает разрешение на доступ к контактам, хранящимся на устройстве. Информация о контактах считается чувствительной, так как может содержать личные данные о друзьях, семье, коллегах и знакомых, включая имена, номера телефонов и адреса электронной почты.

Доступ к хранилищу данных на устройстве также может нести риски. В ходе исследования установлено, что 21 из протестированных приложений имеют возможность записывать данные в хранилище устройства, а 20 приложений могут читать файлы. Приложение PictureThis, например, имеет доступ к геолокации изображений, что позволяет ему узнавать, где были сделаны снимки.

Некоторые приложения запрашивают данные о состоянии телефона, включая номер телефона и коды IMEI. Приложения Khan Academy, Question.AI и Remind требуют доступ к такой информации, что может использоваться для перехвата коммуникаций и идентификации устройства.

Десять из проверенных приложений могут получить доступ к микрофону устройства, включая Blackboard Learn, Canvas Student, Canvas Teacher, ClassDojo, Duolingo, Moodle, Lingokids, PBS Kids, Question.AI и Remind. Хотя эта функция может быть необходима в процессе обучения, при неправильном использовании она может привести к несанкционированному наблюдению и захвату конфиденциальных разговоров.

Платформа Remind требует от пользователей предоставить разрешение на доступ к звонкам, SMS-сообщениям и Bluetooth. При неправильном использовании эти разрешения могут привести к нарушению конфиденциальности и мошенническим коммуникациям.

Четыре из протестированных приложений могли получить доступ к приблизительному местоположению пользователей: ClassDojo, Moodle, Question.AI и Sololearn. Два приложения - Moodle и Question.AI - имеют доступ к точному местоположению. Разрешения на определение местоположения считаются особо чувствительными, так как предоставляют приложению доступ к точной информации о местонахождении устройства.

Для защиты данных Cybernews рекомендует всегда внимательно изучать, какие разрешения запрашиваются приложениями, и, если они кажутся излишними, отказываться от использования таких приложений.