Редакция не обязана во всём соглашаться с авторами
ВКонтакте

Почти 90% мобильных приложений воруют и сливают данные россиян

Эксперты АНО «Инфокультура» выявили в мобильных приложениях российских госсервисов встроенные иностранные и российские трекеры. Они скрыто собирают информацию о пользователях и отправляют ее в Google, Facebook, Microsoft и даже японским компаниям. Трекеры «Яндекса» в таких программах тоже есть.


Небезопасные госприложения


В мобильных приложениях для смартфонов, созданных для госсервисов, обнаружены многочисленные скрытые встроенные алгоритмы отслеживания, разработанные иностранными компаниями.


В списке приложений, попавших во внимание к ИБ-специалистам, оказались Moscow Transport и «Парковки Москвы» от столичного Департамента транспорта, а также «Добродел» (Правительство Московской Области), «Активный гражданин» (Информационный город ГКУ), «Услуги РТ» (Татарстан), «Мой налог» (ФНС России), «Социальный мониторинг» (Информационный город ГКУ) и многие другие. Трекеры иностранного происхождения, несущие угрозу персональным россиян, были обнаружены не в каждом из них, но некоторые отличись тем, что имеют в своем составе сразу 10 различных «следилок».



Из 44 приложений, проверенных экспертами АНО «Инфокультура», лишь пять на момент проведения исследования не имели ни одного встроенного трекера. Это программы ЕГР ЗАГС (разработчик – ФНС, 10 тыс. загрузок из Google Play) , «Госуслуги.Дороги» (Минцифры, 100 тыс. скачиваний), «Липецкая область» (Липецкое ОБУ «ИТЦ», 50 тыс. загрузок), HISTARS (10 тыс. скачиваний) и «Работа в России» (более 1 млн загрузок, разработчик – Федеральная служба по труду и занятости).


Самые «дырявые» приложения


Согласно исследованию, приложения одного и того же разработчика могут как не иметь интегрированных средств отслеживания полностью, так и содержать сразу несколько таких трекеров. Например, это упомянутая Федеральная налоговая служба, в приложении которой под названием «Проверка чеков ФНС России» найдено сразу четыре потенциальных зловреда. Оно было скачано из Google Play более 100 тыс. раз.

Приложения с наибольшим числом трекеров


Но настоящим рекордсменом по числу встроенных трекеров оказалось приложение Moscow Transport, разработанное по заказу Дептранса Москвы. В нем их сразу 10, девять из которых иностранные, а количество его установок составляет в пределах 500 тыс. В «Парковках Москвы», еще одной утилите столичного Дептранса, трекеров «всего» четыре при количестве скачиваний в пределах 1 млн.

Наиболее популярные трекеры для установки


На втором месте в рейтинге АНО «Инфокультура» находится приложение «Мои Документы Онлайн» с 1 млн загрузок из магазина Google и девятью трекерами. Третью строчку занял «Добродел», разработанный по заказу правительства Москвы – шесть трекеров и около 100 тыс. загрузок.


Без российских трекеров тоже не обошлось


В мобильных госприложениях чаще всего встречаются трекеры интернет-гиганта Google, и аналитики «Инфокультуры» связывают это с инструментами разработки ПО для Android, которые она предлагает сторонним программистам.


Трекеры приложений, и каким юрисдикциям они принадлежат


Источник: АНО «Инфокультура», Перейти к полной таблице


В числе таких трекеров есть Firebase Analytics (присутствует в 35 программах) и CrashLytics (есть в 21 программе) – они передают данные о работе приложений разработчикам для дальнейшей отладки ПО.


Каким компаниям и юрисдикциям принадлежат трекеры


Но следят за российскими пользователями не только иностранные, но и отечественные копании. Например, трекер AppMetrica за авторством «Яндекса» исследователи обнаружили в 16 приложениях их 44, а это около 36%. Притом больше всего трекеров (50%), российских и иностранных, как сказано в исследовании, направлены на «сбор данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам».


Выводы аналитиков


Авторы исследования выяснили, что в 88% из 44 протестированных ими госприложений есть хотя бы один трекер, передающий персональные данные сторонним компаниям. В 43% утилит было найдено как минимум три трекера.


Количество трекеров по типу


Чаще всего (в 86%) трекеры отправляют данные в США – это в первую очередь алгоритмы Google, Facebook и Microsoft. Но приложение «Услуги РТ», предназначенное для жителей Татарстана, отсылает данные ещё и в Японию.


Также эксперты отметили, что всем приложениям из выборки требуется как минимум пять разрешений на доступ к данным и функциям смартфона, притом каждая пятая программа использует хотя бы одно потенциально опасное разрешение. В их число попадают разрешения на доступ к хранилищу, геолокации, камере...


Комментарий разработчиков


Редакция CNews обратилась с запросом о причинах добавления в госприложения столь сомнительных функций к ряду заказчиков госприложений, в которых «Инфокультура» обнаружила трекеры. Письма были направлены в столичный Дептранс, Департамент информационных технологий Москвы (ДИТ), ФНС, а также разработчикам «Мои Документы Онлайн», «Услуги РТ», и «Госуслуг Санкт-Петербурга». Также поинтересовались - какие именно персональные данные собирают и передают эти утилиты.


На момент публикации материала только ДИТ ответил на запрос. Его представители сообщили, что:


«Указанные сервисы (Crashlytics, Analytics и пр.) не собирают и не используют персональные данные пользователей мобильных приложений. Они являются составными частями платформы Google Firebase, которая предоставляет инфраструктурные сервисы для разработки и реализации части функций мобильных приложений».


«Использование данных сервисов является фактически отраслевым стандартом, без которого полноценная работа и эффективный мониторинг работы приложений будут затруднены или ограничены. Эти сервисы либо являются аналитическими, либо используются для отслеживания ошибок и производительности. Их использование необходимо исключительно для оптимизации работы приложений, повышения удобства интерфейсов и улучшения стабильности. Персональные данные пользователей мобильных приложений, разработанных ГКУ «Информационный город», хранятся на серверах Департамента информационных технологий, расположенных на территории России и защищённых в соответствии с требованиями российского законодательства. Сторонним компаниям эти данные не передаются».

Список недавних новостей
%D0%9F%D1%80%D0%B5%D0%B4%20%D0%A2%D0%A1%
%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%

©   Индустрия Сервейинг - комплексное управление жилой недвижимостью и коммунальной инфраструктурой -

правовые, технические, финансово-экономические решения

(NP effective property management "Industry Survey")

  • Индустрия Сервейинг
  • https://vk.com/industserv
  • Индустрия Сервейинг на ФБ

©  2009 - 2021 Индустрия Сервейинг,  НП ЭУН  

     Редакция не обязана во всём соглашаться с авторами