Поддержите The Moscow Times

Подписывайтесь на Русскую службу The Moscow Times в Telegram

Подписаться

«Яндекс» заподозрили на Западе в передаче данных миллионов пользователей в Россию

Александр Авилов / Агентство «Москва»

«Яндекс» встроил код в приложения, работающие на мобильных устройствах на операционных системах iOS от Apple и Android от Google, который позволяет пересылать информацию о миллионах пользователей на сервера в России. Аналитики опасаются, что доступ к этим метаданным могут получить российские власти, которые будут их использовать для отслеживания людей через их устройства.

Первым код «Яндекса» выявил исследователь Зак Эдвардс, который проводил аудит приложений для некоммерческой организации Me2B Alliance. Затем четыре независимых эксперта провели тесты для Financial Times, чтобы проверить его выводы.

«Яндекс» признает, что его программное обеспечение собирает информацию о «девайсе, сети и IP-адрес», которая хранится «в Финляндии и России», но называет эти данные «неперсонализированными и очень ограниченными». «Хотя теоретических это возможно, на практике исключительно трудно идентифицировать пользователей, основываясь исключительно на такой собранной информации. "Яндекс" определенно не может этого сделать», – говорится в заявлении компании.

Она добавляет, что, имея дело с правительствами, следует «очень четким» внутренним процессам: «Любые просьбы, не соответствующие всем необходимым процедурным и юридическим требованиям, отклоняются».

Однако Шер Скарлетт, которая раньше была главным программистом в сфере глобальной безопасности в Apple, говорит: после того, как собранная информация оказалась на российских серверах, власти по закону могут обязать «Яндекс» предоставить ее. По мнению других экспертов, собираемые компанией метаданные могут быть использованы для идентификации пользователей.

Рон Уайден, председатель финансового комитета сената и один из авторов интернет-регулирования в США, жестко раскритиковал Google и Apple за то, что не обезопасили смартфоны от программного обеспечения «Яндекса», которое оказалось в 52 000 приложений, установленных на устройствах миллионов пользователей. «Эти приложения высасывают частные, конфиденциальные данные из вашего телефона, угрожая национальной безопасности США и частной жизни американцев и других людей по всему свету», – заявил он.

У «Яндекса» есть программное обеспечение в виде пакета программ для разработки приложений (SDK), которое называется AppMetrica. SDK – своего рода конструктор для создания приложений. Например, такой пакет от Google Maps помогает встроить функции карт в приложение, а не разрабатывать их с нуля. Многие SDK предлагаются «бесплатно» – точнее, в обмен на доступ к данным пользователей, которые применяются в таргетированной рекламе.

Среди приложений, где используется AppMetrica, – игры, мессенджеры, инструменты для обмена информацией о позиционировании, а также сотни частных виртуальных сетей (VPN), цель которых – исключить отслеживание в интернете. Семь таких VPN сделаны конкретно под украинскую аудиторию. По данным Appfigures, приложения с SDK AppMetrica в общей сложности скачаны и установлены сотни миллионов раз.

Эдвардс говорит:

Утверждается, что AppMetrica предоставляет надлежащие услуги, но при этом посылает домой в Москву метаданные с вытащенными из самой глубины деталями, которые можно использовать для отслеживания людей на сайтах и в приложениях. Для людей, подвергающихся опасности или работающих на важном посту, использование приложений, которые посылают эти данные в Москву, представляет угрозу и потенциально может привести к атакам на домашние сети или вызвать другие формы цифровой слежки.

«Яндекс» настаивает, что ее SDK «работает так же, как у международных компаний», включая Google Firebase, который можно найти более чем в 2 млн приложений, работающих на Android. А данные собираются только «после того, как приложение получит согласие пользователя» через приложение. «Мы информируем разработчиков о том, как функционирует AppMetrica, и они обязаны, если это предусмотрено законом, получать согласие от своих пользователей, – заявляет «Яндекс». – Мы никогда не передавали никакой информации о пользователях приложений, использующих AppMetrica, и нас никогда не просили это делать».

Apple также сообщила, что AppMetrica не может самостоятельно получить доступ к данным пользователей, поскольку требует получения согласия.

Но Патрик Джексон, директор по технологиям Disconnect, разработчика цифровых решений для защиты личной информации, говорит, что SDK представляют риск как раз тем, что не спрашивают разрешения, а «пользуются разрешением, которое вы, пользователь, дали приложению». Google признал, что ему нужно провести дополнительную работу над тем, чтобы проинформировать пользователей, какие SDK применяются для создания приложений. Также Google пообещал провести расследование по выявленным FT фактам.

Некоторые разработчики после вторжения России на Украину начали удалять AppMetrica из своих приложений. «Мы приняли решение прекратить использование российских сервисов, когда началась война», – сказал представитель Gismart, которая выпускала десятки игр с использованием AppMetrica. Opera, популярный браузер со встроенной VPN, также сообщил, что отключил SDK 15 февраля «в рамках подготовки к его полному удалению», но не объяснил причин.

Однако после вторжения на Украину более 2000 приложений добавили AppMetrica, в том числе несколько таких, что, как представляется, созданы для отслеживания украинских пользователей.

Например, «бесплатный мессенджер для украинцев» Call Ukraine появился в Play Store 10 марта и использует желто-голубой флаг в качестве иконки. После загрузки приложение может идентифицировать пользователя и просматривать его контакты. Разработчик предоставил фиктивный адрес электронной почты help.service@internet.ru.

Шер Скарлетт, по ее словам, обеспокоена тем, что AppMetrica всего за последние 30 дней была установлена в 21 VPN. «Люди стараются обезопасить себя, но в реальности становятся более уязвимыми», – говорит она.

читать еще

Подпишитесь на нашу рассылку