Более 87 500 раз за неделю приложения в телефоне отслеживали и передавали данные третьим лицам

Приветствую, комьюнити, на связи Александр Хитро. Хоть я и не совсем дикий человек, знакомый с современными технологиями, т.к. 10 лет занимаюсь маркетингом, 8 из которых — контекстной рекламой, но недавно узнал об одном интересном функционале для смартфонов на Android, о чём и расскажу в этой статье.

Я и ранее знал о существовании "проблемы", но даже не подозревал, что всё настолько плохо. Кулстори из разряда "с подключением", но вы сейчас сами офигеете от масштабов проблемы конфиденциальности ваших данных.

Неделю назад я установил на телефон на ОС Android браузер DuckDuckGo и включил в нём блокировку отслеживания сторонними приложениями.

За неделю на момент написания этой статьи было предотвращено 87+ тысяч попыток отслеживания 35 приложениями.

И эти 87,5 тысяч попыток даже не потолок, т.к. я регулярно "гасил" слишком офигевшие приложения, в которых за 10–30 минут использования было предотвращено 3–8 тысяч попыток отслеживания, т.е. буквально каждую секунду отслеживаются и отправляются огромные пакеты данных.

В неделе всего 604 800 секунд. Делим это число на 87 512 и получаем, что телефон в среднем за неделю что-то пытался отслеживать каждые 7 секунд.

Запись экрана, как в DuckDuckGo в режиме реального времени отслеживаемые приложения меняют порядок по последнему активному. И каждую секунду сверху обновляется общий счётчик попыток отслеживания, а у приложений число меняется в скобочках.

У меня за неделю обычного повседневного использования телефона таких приложений-шпионов оказалось 35. Какой портрет собирается в каких приложениях на вашем телефоне — это совершенно индивидуальная история для каждого.

Позапрещал передачу данных в фоне суммарно, может, паре десятков разных приложений, части из которых интернет для работы вообще не нужен, типа будильника, калькулятора, галереи, фоторедактора, видеоредактора, QR-сканнера и прочих подобных.

Если вы как и я не нуждаетесь в фоновой выгрузке фоток и видео в облачное хранилище, заходим в настройки и отключаем фоновую передачу данных в оффлайн приложениях.

В некоторых передававших данные приложениях я даже не залогинен в аккаунт и не открывал их более полугода, кэш этих приложений и данные в них очищены до заводских установок, но им это не мешает передавать данные ежедневно сразу нескольким третьим лицам. Ну просто блестяще.

Крупнейшие провайдеры рекламы, различные системы аналитики и просто сервисы сбора данных, которые потом предоставляют другим рекламным системам собранные данные, естественно, на взаимовыгодных условиях.

Этот список компаний я выписал прямо из DuckDuckGo, открыв те 35 приложений, трекинг в которых был заблокирован за неделю. Естественно, это неполный список компаний, которые отслеживают данные в приложениях.

Таких компаний сотни. Чтобы увидеть, насколько он больше, достаточно зайти на любой европейский сайт, например, Euronews, и почитать в настройках cookies, каким именно третьим лицам передаются данные. Список компаний ужасающий.

Всеми любименький Instagram (Meta) собирает и передаёт данные в Google, Twitter, Microsoft (внезапно, да?), Amplitude, ByteDance, Functional Software.

Яндекс тоже не остался не у дел. Из 35 приложений, в которых за неделю были предотвращены попытки отслеживаний, Яндекс был уличён в четырёх. Но это не значит, что отслеживается только 4 приложения. Это четыре только из тех, которыми я пользовался за последние 7 дней, или которые что-то там сами в фоне передавали у меня на телефоне.

На скриншотах выше вы уже можете видеть некоторые данные. Я собрал из разных приложений общий список, который, естественно, неполный из-за того, что в каждом приложении отслеживаются разные данные. Например, не каждое отслеживало Данные акселерометра и Данные вращения. Но вот примерно то, что о вас обо всех знают крупнейшие провайдеры рекламы, системы аналитики и сервисы сбора данных:

Обратите внимание на то, что выделено красным маркером. Передачу этих данных в связке с Cookie-файлами я считаю вообще полным безумием.

За возможность идентификации по файлам Cookies реальной личности Google Analytics был запрещён в нескольких странах Европейского Союза (Австрии, Франции), т.е. его использование на сайтах признано незаконным. Привет от закона GDPR с его сумасшедшими штрафами.

И правозащитники продолжают щемить Google Analytics, добиваясь его бана в Германии, Нидерландах и других странах-членах ЕС.

А то, что в конкретной стране гнилое дырявое днище в охране персональных данных, это не проблема охраны персональных данных, а лишь проблема конкретной страны.

Вспомним рекордные В ИСТОРИИ штрафы за нарушение конфиденциальности, которые получали зарубежные компании:

И вспомним, какие штрафы были за недавние утечки баз данных пользователей всем известных отечественных сервисов по доставке чего угодно? Эти штрафы даже пенсионер может со своего кармана оплатить. Это просто издёвка, а не охрана конфиденциальных данных.

Отсюда и пользователи отечественных интернетов всё это хавают и уже реагируют на подобные отечественные инциденты как "ну и чо, лол, в первый раз что ли, шатали мы ваши данные, всё равно никому ничего за это не будет".

Самим браузером DuckDuckGo пользоваться необязательно, трафик пропускается через локальный VPN, и трекеры всех остальных приложений блокируются по всей ОС. Я продолжаю юзать браузер Chrome.

Кстати, я очень удивлен, что ни одно из приложений экосистемы Google не фигурировало в списке тех, которые что-то отслеживали. Но какая разница, если практически в каждом приложении, которые что-то отслеживали, в списке вендоров присутствует Google. Мало того, что со своей экосистемы собрал все данные до последней капли, так ещё и с других компаний дособирал то, что не дособрал своими силами.

Вот даже не знаю, что будет тратить больше аккумулятора, отслеживание и передача ста тысяч раз разных пакетов данных или одно работающее приложение в фоне, блокирующее все трекеры.

Забавно, что отреагировавшие на статью поделились на две категории:

Нет, ребята, я не знал, что таких отслеживаемых событий почти сто тысяч в неделю. А в месяц что, получается, почти полмиллиона? Ну класс вообще.

Действительно, и чему тут удивляться, об этом же все знают и говорят об этом из каждого утюга не менее 9000 раз каждый день.

И, естественно, каждый день ведь публикуются доказательства того, что Meta, Google, Twitter и Microsoft сливают друг другу данные своих приложений. А то до сих пор пользователи этих ваших интернетов удивляются с круглыми глазами, как вообще такое возможно, что они делают какие-то действия в одном приложении одной компании, а рекламная система другой компании мгновенно знает о них абсолютно всё.

Также на тему безопасности данных я описывал случай, чуть не ставший для меня печальным, но много людей, к сожалению, уже пострадали:

Ещё больше полезностей я пишу в ТГ канале PPC для сверхразумов и делюсь интересными вещами о контекстной рекламе, неочевидных аналитических приёмах в Power BI, Looker Studio (Google Data Sudio) и Excel.

На канале ещё много интересного. Увидимся там.