Эксперты АНО «Инфокультура» выявили в мобильных приложениях российских госсервисов встроенные иностранные и российские трекеры. Они скрыто собирают информацию о пользователях и отправляют ее в Google, Facebook, Microsoft и даже японским компаниям. Трекеры «Яндекса» в таких программах тоже есть.

Небезопасные госприложения

В мобильных приложениях для смартфонов, созданных для госсервисов, обнаружены многочисленные скрытые встроенные алгоритмы отслеживания, разработанные иностранными компаниями.

В списке приложений, попавших во внимание к ИБ-специалистам, оказались Moscow Transport и «Парковки Москвы» от столичного Департамента транспорта, а также «Добродел» (Правительство Московской Области), «Активный гражданин» (Информационный город ГКУ), «Услуги РТ» (Татарстан), «Мой налог» (ФНС России), «Социальный мониторинг» (Информационный город ГКУ) и многие другие. Трекеры иностранного происхождения, несущие угрозу персональным россиян, были обнаружены не в каждом из них, но некоторые отличись тем, что имеют в своем составе сразу 10 различных «следилок».

Из 44 приложений, проверенных экспертами АНО «Инфокультура», лишь пять на момент проведения исследования не имели ни одного встроенного трекера. Это программы ЕГР ЗАГС (разработчик – ФНС, 10 тыс. загрузок из Google Play) , «Госуслуги.Дороги» (Минцифры, 100 тыс. скачиваний), «Липецкая область» (Липецкое ОБУ «ИТЦ», 50 тыс. загрузок), HISTARS (10 тыс. скачиваний) и «Работа в России» (более 1 млн загрузок, разработчик – Федеральная служба по труду и занятости).

Самые «дырявые» приложения

Согласно исследованию, приложения одного и того же разработчика могут как не иметь интегрированных средств отслеживания полностью, так и содержать сразу несколько таких трекеров. Например, это упомянутая Федеральная налоговая служба, в приложении которой под названием «Проверка чеков ФНС России» найдено сразу четыре потенциальных зловреда. Оно было скачано из Google Play более 100 тыс. раз.

Приложения с наибольшим числом трекеров

Но настоящим рекордсменом по числу встроенных трекеров оказалось приложение Moscow Transport, разработанное по заказу Дептранса Москвы. В нем их сразу 10, девять из которых иностранные, а количество его установок составляет в пределах 500 тыс. В «Парковках Москвы», еще одной утилите столичного Дептранса, трекеров «всего» четыре при количестве скачиваний в пределах 1 млн.

Наиболее популярные трекеры для установки

На втором месте в рейтинге АНО «Инфокультура» находится приложение «Мои Документы Онлайн» с 1 млн загрузок из магазина Google и девятью трекерами. Третью строчку занял «Добродел», разработанный по заказу правительства Москвы – шесть трекеров и около 100 тыс. загрузок.

Без российских трекеров тоже не обошлось

В мобильных госприложениях чаще всего встречаются трекеры интернет-гиганта Google, и аналитики «Инфокультуры» связывают это с инструментами разработки ПО для Android, которые она предлагает сторонним программистам.

Трекеры приложений, и каким юрисдикциям они принадлежат

Источник: АНО «Инфокультура», Перейти к полной таблице

В числе таких трекеров есть Firebase Analytics (присутствует в 35 программах) и CrashLytics (есть в 21 программе) – они передают данные о работе приложений разработчикам для дальнейшей отладки ПО.

Каким компаниям и юрисдикциям принадлежат трекеры

Но следят за российскими пользователями не только иностранные, но и отечественные копании. Например, трекер AppMetrica за авторством «Яндекса» исследователи обнаружили в 16 приложениях их 44, а это около 36%. Притом больше всего трекеров (50%), российских и иностранных, как сказано в исследовании, направлены на «сбор данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам».

Выводы аналитиков

Авторы исследования выяснили, что в 88% из 44 протестированных ими госприложений есть хотя бы один трекер, передающий персональные данные сторонним компаниям. В 43% утилит было найдено как минимум три трекера.

Количество трекеров по типу

Чаще всего (в 86%) трекеры отправляют данные в США – это в первую очередь алгоритмы Google, Facebook и Microsoft. Но приложение «Услуги РТ», предназначенное для жителей Татарстана, отсылает данные ещё и в Японию.

Также эксперты отметили, что всем приложениям из выборки требуется как минимум пять разрешений на доступ к данным и функциям смартфона, притом каждая пятая программа использует хотя бы одно потенциально опасное разрешение. В их число попадают разрешения на доступ к хранилищу, геолокации, камере...

Комментарий разработчиков

Редакция CNews обратилась с запросом о причинах добавления в госприложения столь сомнительных функций к ряду заказчиков госприложений, в которых «Инфокультура» обнаружила трекеры. Письма были направлены в столичный Дептранс, Департамент информационных технологий Москвы (ДИТ), ФНС, а также разработчикам «Мои Документы Онлайн», «Услуги РТ», и «Госуслуг Санкт-Петербурга». Также поинтересовались - какие именно персональные данные собирают и передают эти утилиты.

На момент публикации материала только ДИТ ответил на запрос. Его представители сообщили, что:

«Указанные сервисы (Crashlytics, Analytics и пр.) не собирают и не используют персональные данные пользователей мобильных приложений. Они являются составными частями платформы Google Firebase, которая предоставляет инфраструктурные сервисы для разработки и реализации части функций мобильных приложений».

«Использование данных сервисов является фактически отраслевым стандартом, без которого полноценная работа и эффективный мониторинг работы приложений будут затруднены или ограничены. Эти сервисы либо являются аналитическими, либо используются для отслеживания ошибок и производительности. Их использование необходимо исключительно для оптимизации работы приложений, повышения удобства интерфейсов и улучшения стабильности. Персональные данные пользователей мобильных приложений, разработанных ГКУ «Информационный город», хранятся на серверах Департамента информационных технологий, расположенных на территории России и защищённых в соответствии с требованиями российского законодательства. Сторонним компаниям эти данные не передаются».