Эксперты заявили о практике передачи данных россиян через госприложени

Большинство изученных экспертами государственных мобильных приложений передает данные пользователей третьим лицам, выяснили в АНО «Инфокультура». В Минцифры напоминают, что использование трекеров — стандартная практика

Эксперты заявили о практике передачи данных россиян через госприложени

Среди государственных мобильных приложений, к которым относятся «Госуслуги Москвы» и «Активный гражданин», 88% имеют хотябы один встроенный трекер, который передает данные третьим лицам— сторонним компаниям. Об этом говорится в аналитической записке «Приватность государственных мобильных приложений в России» (есть в распоряжении РБК), подготовленной АНО «Инфокультура»— НКО, которая специализируется на проведении экспертизы в области открытых данных.

В данном случае трекер— это сервис, который используется для отслеживания действий пользователей и информации о них через мобильные приложения. Большая часть трекеров, используемых в этих мобильных приложениях, принадлежит компаниям юрисдикции США (86%), а одно из приложений— «Услуги РТ»— использует трекер организации в юрисдикции Японии. Также авторы записки выяснили, что все изученные приложения запрашивают как минимум одно разрешение, которое Google относит к небезопасным.

Эксперты заявили о практике передачи данных россиян через госприложени

Один из авторов исследования, Иван Бегтин, рассказал РБК, что его задачей было проанализировать трекеры именно госприложений. Для анализа были выбраны приложения, разработанные для мобильной операционной системы Android и доступные для скачивания в магазине Google Play. Исследователи решили выбрать именно приложения для Android, так как эта платформа имеет самую высокую долю на мировом рынке, пояснил Бегтин. В результате «быстрого поиска» авторам аналитики удалось обнаружить 44 приложения, созданных госорганами и госкомпаниями. «Этих приложений не очень много, но они становятся очень популярными. Теже «Госуслуги» находятся в топах чартов (приложение занимает второе место в топе бесплатных программ Google Play.— РБК)»,— отметил Бегтин.

«Решения Минцифры имеют серьезную защиту и соответствуют требованиям регулятора в части информационной безопасности. При этом использование трекеров— стандартная практика, в наших приложениях встроены push-уведомления, но, например, без трекера Google Firebase реализовать push невозможно. Все данные пользователей в системе электронного правительства защищены, приватность сохраняется»,— заявил РБК замминистра Олег Качанов.

В пресс-службе департамента информационных технологий Москвы РБК сообщили, что названные сервисы не используют персональные данные пользователей. «Указанные сервисы (Crashlytics, Analytics и пр.) не собирают и не используют персональные данные пользователей мобильных приложений. Они являются составными частями платформы Google Firebase, которая предоставляет инфраструктурные сервисы для разработки и реализации части функций мобильных приложений. Использование данных сервисов является фактически отраслевым стандартом, без которого полноценная работа и эффективный мониторинг работы приложений будут затруднены или ограничены. <…> Их использование необходимо исключительно для оптимизации работы приложений, повышения удобства интерфейсов и улучшения стабильности»,— ответили в департаменте.

«Персональные данные пользователей мобильных приложений, разработанных ГКУ «Информационный город», хранятся на серверах Департамента информационных технологий, расположенных на территории Российской Федерации и защищенных в соответствии с требованиями российского законодательства. Сторонним компаниям эти данные не передаются»,— заверили в ДИТ.

Какие программы были изучены

Среди 44 исследуемых мобильных госприложений 16 сделаны по заказу правительства Москвы (в частности, «дочки» департамента информационных технологий «Информационный город ГКУ» и департамента транспорта Москвы). Четыре приложения разработаны для Минцифры, шесть— для ФНС России. Среди оставшихся 18 семь принадлежат федеральным органам исполнительной власти (Роструду, Минздраву, Росалкогольрегулированию, МВД, Федеральному казначейству и так далее), шесть— региональным органам власти (правительству Московской области, министерству цифрового развития Красноярского края, депинформтехнологий Югры, мининформу Нижегородской области). Еще пять созданы иными организациями.

При этом в выборке оказалось всего пять приложений, которые не имеют ни одного встроенного трекера,— ЕГР ЗАГС, «Госуслуги.Дороги», «Липецкая область», HISTARS, «Работа в России».

Что и кому передает сторонний трекер

Сторонние трекеры— это фрагменты кода в приложениях и сайтах, которые собирают и отправляют информацию о пользователе другим компаниям, чаще всего в рекламных целях. Именно такие трекеры могут быть опасными, пояснил РБК Бегтин. «На рекламном рынке трекеры передают данные о пользователях сторонним компаниям, которые монетизируют эту информацию и перепродают ее,— говорит он.— В изученных нами госприложениях есть 20 подобных сервисов. Трекеры можно разделить по целям их работы. Они могут отслеживать ошибки и сбои в работе приложений (например, Google Crashlytics), авторизовать пользователя (Facebook Login), преследовать рекламные и маркетинговые цели (Google AdMob) либо собирать данные пользователей и отслеживать их (AppMetrica).

Используя разрешения приложения, трекер получает доступ к определенным данным пользователя— его камере, контактам, местоположению и т.д. «Допустим, приложение «Госуслуги» запрашивает доступ к твоей камере,— пояснил Бегтин.— Оно может передать изображение с твоей камеры куда-то на внешний сервис, в первую очередь на свой, но может и на сторонний».

Наиболее часто в рассматриваемых приложениях используются трекеры Google, Facebook и Microsoft (все эти компании находятся в юрисдикции США).

Эксперты заявили о практике передачи данных россиян через госприложени

Что такое «опасное» разрешение

Всего изученные приложения запрашивают 88 разрешений. К небезопасным относятся 12 из них, согласно списку уровней защиты для Android от Google. Все госприложения запрашивают как минимум пять разрешений на доступ к данным и функциям устройства, все 44 приложения запрашивают доступ к интернету. При этом все приложения из выборки используют хотябы одно потенциально опасное разрешение. Например, приложение ДИТ Москвы «Учет посещаемости» запрашивает доступ к камере, а приложение «Госуслуги Красноярского края» просит разрешение на совершение телефонных звонков.

Опасные разрешения

Организация «Лига безопасного интернета» называет опасными разрешения, которые позволяют получить личную информацию пользователя или вторгаются в его персональную жизнь. Согласно ее классификации, в категорию «опасные» входят девять групп разрешений, каждая из которых содержит несколько разрешений, которые может запрашивать приложение. Если одно из разрешений в данной группе пользователь уже одобрил, все остальные разрешения из тойже группы приложение получит автоматически— без нового запроса пользователю. Например, если приложение уже успело запросить и получить разрешение на чтение SMS, то впоследствии оно автоматически получит разрешение и на отправку SMS, и на прием MMS, и на все остальные разрешения из данной группы.

С трекерами в мобильных приложениях связана совершенно конкретная опасность, указывает Бегтин. Он привел в пример инцидент в Нёноксе 2019 года, когда благодаря трекерам Пентагону удалось получить данные о местонахождении его свидетелей. Тогда в Архангельской области, в районе ракетного полигона ВМФ России Нёнокса во время испытаний новой военной техники произошла авария, и в результате взрыва на месте погибли пять человек, двое скончались позже от последствий острой лучевой болезни. «Американцы отследили, кто был на полигоне и по каким странам ближайшего зарубежья— Азербайджан, Армения— они разъезжались и в какие закрытые города возвращались,— пояснил Бегтин.— Сделать это удалось благодаря тому, что большинство участников испытаний были мужчинами с установленными на телефон приложениями формата Tinder, которые напичканы этими трекерами, то есть получается, что как минимум один из сервисов, которые пользуются этими трекерами, продал информацию на сторону».

Данные о пользователях собирают и передают не только государственные мобильные приложения. Но особенная опасность именно госприложений— в их популярности, уверен эксперт. «Как минимум два приложения— «Госуслуги» и «Личный кабинет предпринимателя»— в топе-10 приложений AppStore, их скачали десятки миллионов людей,— отметил он.— Так что тут важны популярность и факт госмонополии: для некоторых приложений альтернатив вообще нет, можно только поставить госприложение». Некоторые из приложений со встроенными трекерами скоро будут «предустанавливаться» на мобильные устройства в обязательном порядке, что также немаловажно, отметил Бегтин.

Эксперты заявили о практике передачи данных россиян через госприложени

Оценить степень опасности передачи личной информации за рубеж сложно, констатирует руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов. «То, что к ней могут получить доступ иностранные спецслужбы, ни у кого не вызывает сомнений, но, с одной стороны, если пользователь законопослушный и не нарушает закон, то бояться нечего. Но как информация, например, о геолокации может быть использована в нестабильное или военное время, можно только догадываться»,— рассуждает он.

Часто разрешение передачи информации преподносится производителем под предлогом того, что благодаря этим данным пользователям будет выводиться только таргетированная реклама, то есть то, что находится в зоне их интересов, напомнил Ненахов. Так реклама становится эффективнее и вызывает меньше раздражения у потенциальных клиентов, многие пользователи знают об этом и не имеют ничего против, объяснил он. «Но, на наш взгляд, государственные приложения можно и нужно создавать без использования сторонних трекеров. Хотя в таком случае придется создавать аналоги библиотек и онлайн-сервисов, что удорожает разработку»,— считает Ненахов. Он также говорит, что пользователь должен быть оповещен о разрешениях, которые требуются приложению, а также должен иметь возможность отключить функции трекинга или удалить приложения вообще, так как отсутствие этой возможности ущемляет его конституционные свободы.

По мнению гендиректора Института исследований интернета Карена Казаряна, особой опасности в передаче личных данных пользователей государственных приложений за рубеж нет. Он объяснил, что разработчики приложений используют зарубежные треки для удобства— они понятные и хорошо работают. Он также считает, что можно создать приложения по типу «Активного гражданина» и «Госуслуг», используя только отечественные программы, но это потребует больше времени на разработку.

Евгения Кузнецова, Анастасия Скрынникова Приучастии Владислав Скобелев

Источник rbc.ru

Оцените статью
Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.