Android-смартфоны уличили в слежке за пользователями
Опубликовал: FIELD LINE, 14-10-2021, 17:13, Mobile, 367, 1
Даже если пользователь смартфона на Android удалил наиболее подозрительные приложения, отключил возможность отслеживания в настройках и принял все необходимые меры, этого недостаточно для того, чтобы устройство перестало следить за ним. Об этом свидетельствует исследование экспертов из Дублинского Тринити-колледжа.
Исследователи проанализировали схемы передачи данных некоторыми популярными версиями ОС Android, включая варианты, разработанные Samsung, Xiaomi и Huawei. Оказалось, устройства «из коробки» даже в режиме ожидания постоянно отправляют информацию разработчикам ОС и некоторым сторонним компаниям. При этом часто отсутствуют возможности прекратить эти процессы.
Значительная часть ответственности лежит на системных приложениях, предустановленных производителями устройств для обеспечения функциональности, например, приложениях камер или тех, что предназначены для обмена сообщениями. Такой софт обычно невозможно удалить или модифицировать без рут-доступа, поэтому они будут отправлять информацию разработчикам, даже если их ни разу не открывали.
В частности, выяснилось, что приложение LinkedIn, предустановленное Samsung, регулярно отправляет на серверы Microsoft информацию об устройстве. Данные включают «телеметрию», включая уникальный идентификатор и количество установленных приложений Microsoft. Информация также передаётся другим компаниям, в том числе, разработчикам метрик, используемых приложениями (крупнейшим из которых является Google).
Подобная практика характерна не только для Samsung. Например, приложение «Сообщения» на смартфонах Xiaomi отправляет в Google всевозможные данные, включая логи времени каждый раз, когда пользователь отправлял текст. Нечто подобное происходит и со смартфонами Huawei.
В основном речь идёт о технических данных, отправка которых мало беспокоит обычных пользователей, — сведениях о модели устройства и размере дисплея, идентификаторах вроде серийного номера смартфона или подобной информации. Каждая из подобных деталей по отдельности не позволяет идентифицировать владельца смартфона, но в совокупности они формируют уникальный «отпечаток», по которому можно легко отслеживать устройство. Не связанные напрямую с Android приложения часто используют собственные идентификаторы, которые позволяют довольно легко установить владельца.
В связи с этим Google в последнее время ограничивает возможности приложений — разработчикам сообщается, что связывать рекламные ID устройства и более важные данные вроде IMEI запрещено. И хотя разработчики приложений для аналитики могут устанавливать подобную связь, они обязаны делать это с прямого согласия пользователя.
При этом Google практически не ограничивает разработчиков в праве сбора всевозможной информации, преимущественно ограничивая её использование. Сбор данных продолжается даже в фоновом режиме до тех пор, пока пользователь не удалит ПО сложными способами, либо смартфон не выйдет из строя и будет выброшен. На вопрос журналистов о сборе данных в Google лаконично ответили, что так работают современные смартфоны, и сбор ограниченного количества данных необходим для работы базовых сервисов в экосистемах устройств, например, IMEI используется для идентификации при доставке патчей, устраняющих критические уязвимости.
В ходе исследования использовалось устройство под управлением т. н. «/e/OS» — операционной системы на базе Android, в которой многие приложения заменены на эквиваленты без необходимости авторизации в аккаунте Google для работы. Оказалось, что смартфон вполне может нормально функционировать, никуда не отправляя данные в фоновом режиме. Другими словами, подобное «отслеживание» необходимо только тем, кто не представляет себя вне экосистемы Google.
В последнее время регуляторы многих регионов, включая, США и ЕС, целенаправленно ужесточают правила обработки техногигантами данных, позволяющих идентифицировать пользователей. Тем не менее «анонимные» сведения, включая спецификации устройств и их ID, обычно не подпадают под действие этих законов, хотя их легко можно использовать для идентификации.
Источник
Исследователи проанализировали схемы передачи данных некоторыми популярными версиями ОС Android, включая варианты, разработанные Samsung, Xiaomi и Huawei. Оказалось, устройства «из коробки» даже в режиме ожидания постоянно отправляют информацию разработчикам ОС и некоторым сторонним компаниям. При этом часто отсутствуют возможности прекратить эти процессы.
Значительная часть ответственности лежит на системных приложениях, предустановленных производителями устройств для обеспечения функциональности, например, приложениях камер или тех, что предназначены для обмена сообщениями. Такой софт обычно невозможно удалить или модифицировать без рут-доступа, поэтому они будут отправлять информацию разработчикам, даже если их ни разу не открывали.
В частности, выяснилось, что приложение LinkedIn, предустановленное Samsung, регулярно отправляет на серверы Microsoft информацию об устройстве. Данные включают «телеметрию», включая уникальный идентификатор и количество установленных приложений Microsoft. Информация также передаётся другим компаниям, в том числе, разработчикам метрик, используемых приложениями (крупнейшим из которых является Google).
Подобная практика характерна не только для Samsung. Например, приложение «Сообщения» на смартфонах Xiaomi отправляет в Google всевозможные данные, включая логи времени каждый раз, когда пользователь отправлял текст. Нечто подобное происходит и со смартфонами Huawei.
В основном речь идёт о технических данных, отправка которых мало беспокоит обычных пользователей, — сведениях о модели устройства и размере дисплея, идентификаторах вроде серийного номера смартфона или подобной информации. Каждая из подобных деталей по отдельности не позволяет идентифицировать владельца смартфона, но в совокупности они формируют уникальный «отпечаток», по которому можно легко отслеживать устройство. Не связанные напрямую с Android приложения часто используют собственные идентификаторы, которые позволяют довольно легко установить владельца.
В связи с этим Google в последнее время ограничивает возможности приложений — разработчикам сообщается, что связывать рекламные ID устройства и более важные данные вроде IMEI запрещено. И хотя разработчики приложений для аналитики могут устанавливать подобную связь, они обязаны делать это с прямого согласия пользователя.
При этом Google практически не ограничивает разработчиков в праве сбора всевозможной информации, преимущественно ограничивая её использование. Сбор данных продолжается даже в фоновом режиме до тех пор, пока пользователь не удалит ПО сложными способами, либо смартфон не выйдет из строя и будет выброшен. На вопрос журналистов о сборе данных в Google лаконично ответили, что так работают современные смартфоны, и сбор ограниченного количества данных необходим для работы базовых сервисов в экосистемах устройств, например, IMEI используется для идентификации при доставке патчей, устраняющих критические уязвимости.
В ходе исследования использовалось устройство под управлением т. н. «/e/OS» — операционной системы на базе Android, в которой многие приложения заменены на эквиваленты без необходимости авторизации в аккаунте Google для работы. Оказалось, что смартфон вполне может нормально функционировать, никуда не отправляя данные в фоновом режиме. Другими словами, подобное «отслеживание» необходимо только тем, кто не представляет себя вне экосистемы Google.
В последнее время регуляторы многих регионов, включая, США и ЕС, целенаправленно ужесточают правила обработки техногигантами данных, позволяющих идентифицировать пользователей. Тем не менее «анонимные» сведения, включая спецификации устройств и их ID, обычно не подпадают под действие этих законов, хотя их легко можно использовать для идентификации.
Источник