«Яндекс» встроил код в приложения, работающие на мобильных устройствах на операционных системах iOS от Apple и Android от Google, который позволяет пересылать информацию о миллионах пользователей на сервера в России. Аналитики опасаются, что доступ к этим метаданным могут получить российские власти, которые будут их использовать для отслеживания людей через их устройства.
Первым код «Яндекса» выявил исследователь Зак Эдвардс, который проводил аудит приложений для некоммерческой организации Me2B Alliance. Затем четыре независимых эксперта провели тесты для Financial Times, чтобы проверить его выводы.
«Яндекс» признает, что его программное обеспечение собирает информацию о «девайсе, сети и IP-адрес», которая хранится «в Финляндии и России», но называет эти данные «неперсонализированными и очень ограниченными». «Хотя теоретических это возможно, на практике исключительно трудно идентифицировать пользователей, основываясь исключительно на такой собранной информации. "Яндекс" определенно не может этого сделать», – говорится в заявлении компании.
Она добавляет, что, имея дело с правительствами, следует «очень четким» внутренним процессам: «Любые просьбы, не соответствующие всем необходимым процедурным и юридическим требованиям, отклоняются».
Рон Уайден, председатель финансового комитета сената и один из авторов интернет-регулирования в США, жестко раскритиковал Google и Apple за то, что не обезопасили смартфоны от программного обеспечения «Яндекса», которое оказалось в 52 000 приложений, установленных на устройствах миллионов пользователей. «Эти приложения высасывают частные, конфиденциальные данные из вашего телефона, угрожая национальной безопасности США и частной жизни американцев и других людей по всему свету», – заявил он.
У «Яндекса» есть программное обеспечение в виде пакета программ для разработки приложений (SDK), которое называется AppMetrica. SDK – своего рода конструктор для создания приложений. Например, такой пакет от Google Maps помогает встроить функции карт в приложение, а не разрабатывать их с нуля. Многие SDK предлагаются «бесплатно» – точнее, в обмен на доступ к данным пользователей, которые применяются в таргетированной рекламе.
Среди приложений, где используется AppMetrica, – игры, мессенджеры, инструменты для обмена информацией о позиционировании, а также сотни частных виртуальных сетей (VPN), цель которых – исключить отслеживание в интернете. Семь таких VPN сделаны конкретно под украинскую аудиторию. По данным Appfigures, приложения с SDK AppMetrica в общей сложности скачаны и установлены сотни миллионов раз.
Эдвардс говорит:
Утверждается, что AppMetrica предоставляет надлежащие услуги, но при этом посылает домой в Москву метаданные с вытащенными из самой глубины деталями, которые можно использовать для отслеживания людей на сайтах и в приложениях. Для людей, подвергающихся опасности или работающих на важном посту, использование приложений, которые посылают эти данные в Москву, представляет угрозу и потенциально может привести к атакам на домашние сети или вызвать другие формы цифровой слежки.
«Яндекс» настаивает, что ее SDK «работает так же, как у международных компаний», включая Google Firebase, который можно найти более чем в 2 млн приложений, работающих на Android. А данные собираются только «после того, как приложение получит согласие пользователя» через приложение. «Мы информируем разработчиков о том, как функционирует AppMetrica, и они обязаны, если это предусмотрено законом, получать согласие от своих пользователей, – заявляет «Яндекс». – Мы никогда не передавали никакой информации о пользователях приложений, использующих AppMetrica, и нас никогда не просили это делать».
Apple также сообщила, что AppMetrica не может самостоятельно получить доступ к данным пользователей, поскольку требует получения согласия.
Но Патрик Джексон, директор по технологиям Disconnect, разработчика цифровых решений для защиты личной информации, говорит, что SDK представляют риск как раз тем, что не спрашивают разрешения, а «пользуются разрешением, которое вы, пользователь, дали приложению». Google признал, что ему нужно провести дополнительную работу над тем, чтобы проинформировать пользователей, какие SDK применяются для создания приложений. Также Google пообещал провести расследование по выявленным FT фактам.
Некоторые разработчики после вторжения России на Украину начали удалять AppMetrica из своих приложений. «Мы приняли решение прекратить использование российских сервисов, когда началась война», – сказал представитель Gismart, которая выпускала десятки игр с использованием AppMetrica. Opera, популярный браузер со встроенной VPN, также сообщил, что отключил SDK 15 февраля «в рамках подготовки к его полному удалению», но не объяснил причин.
Например, «бесплатный мессенджер для украинцев» Call Ukraine появился в Play Store 10 марта и использует желто-голубой флаг в качестве иконки. После загрузки приложение может идентифицировать пользователя и просматривать его контакты. Разработчик предоставил фиктивный адрес электронной почты help.service@internet.ru.
Шер Скарлетт, по ее словам, обеспокоена тем, что AppMetrica всего за последние 30 дней была установлена в 21 VPN. «Люди стараются обезопасить себя, но в реальности становятся более уязвимыми», – говорит она.