АНО «Инфокультура», специализирующаяся на проведении экспертизы в области открытых данных, изучила 44 мобильных приложения, созданных для государственных и муниципальных органов, госучреждений и госкорпораций, и обнаружила в большинстве из них различные встроенные (не имеющие отношения к их разработчикам и органам власти) трекеры, угрожающие персональным данным (ПД) пользователей.
В данном случае трекер — это сервис, который используется для отслеживания действий пользователей и информации о них через мобильные приложения. Эта информация потенциально доступна не только разработчикам приложений, но и владельцам трекеров.
Среди исследованных приложений – «Активный гражданин», «Парковки Москвы», «Госуслуги Санкт-Петербурга» и др.
Пять приложений не имеют ни одного встроенного трекера: ЕГР ЗАГС, «Госуслуги.Дороги», «Липецкая область», HISTARS, «Работа в России».
Наибольшее число трекеров обнаружено в приложениях Moscow transport (10) и «Мои документы онлайн» (9).
Наиболее часто встречаются трекеры компании Google, что, предположительно, связано с инструментами разработки, предлагаемыми компанией, которая является владельцем операционной системы Android и официального магазина приложений для неё. Так, трекеры Google Firebase Analytics и Google CrashLytics используются, для отслеживания работы приложений и помогают разработчикам при отладке.
Самым популярным российским трекером, принадлежащим компании «Яндекс», является трекер AppMetrica, он трекер установлен в 16 приложениях (36%).
Половина используемых трекеров в государственных мобильных приложениях предназначены для сбора данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам, 15% трекеров используются для сбора данных о геолокации и еще 15% – это трекеры рекламных сетей, предназначенные для таргетирования рекламы.
Исследователи зафиксировали использование 88 уникальных разрешений, требуемых приложениями для доступа к данным и функциям устройства. Эти разрешения обеспечивают, в том числе, работу трекеров.
Основные выводы исследования:
- большинство приложений из выборки (88%) имеют хотя бы один встроенный сторонний трекер, который передаёт данные из приложения третьим лицам — сторонним компаниям;
- 19 приложений (43%) передают данные как минимум трём сторонним компаниям — владельцам трекеров;
- трекеры компаний Facebook и Google используются в большинстве приложений;
- около половины используемых в государственных мобильных приложениях трекеров нужны разработчика для анализа работы приложений, данные о геолокации собирают около 15% трекеров, в рекламных и маркетинговых целях используются также около 15%;
- бо́льшая часть трекеров, используемых в государственных мобильных приложениях, принадлежит компаниям, работающим в юрисдикции США (86%), а приложение «Услуги РТ» использует японский трекер;
- все приложения запрашивают как минимум пять разрешений на доступ к данным и функциям устройства, при этом каждое приложение из выборки использует хотя бы одно разрешение, потенциально опасное для ПД;
- из потенциально опасных разрешений приложения чаще всего запрашивают доступ на чтение и запись во внешнее хранилище данных, доступ к местоположению, камере и информации об устройстве.
После публикации исследования в пресс-службе Минцифры сообщили, что использование сервисов для отслеживания действий пользователей в мобильных приложениях – стандартная практика, и что все решения Минцифры РФ в этой области соответствуют требованиям информационной безопасности.
«Решения Минцифры имеют серьёзную защиту и соответствуют требованиям регулятора в части информационной безопасности. При этом использование трекеров – стандартная практика, в наших приложениях встроены пуш-уведомления, но, например, без трекера Google Firebase реализовать «пуши» невозможно. Все данные пользователей в системе электронного правительства защищены, приватность сохраняется», – пояснил замглавы Минцифры РФ Олег Качанов.
