Более 87 500 раз за неделю приложения в телефоне отслеживали и передавали данные третьим лицам

Приветствую, комьюнити, на связи Александр Хитро. Хоть я и не совсем дикий человек, знакомый с современными технологиями, т.к. 10 лет занимаюсь маркетингом, 8 из которых — контекстной рекламой, но недавно узнал об одном интересном функционале для смартфонов на Android, о чём и расскажу в этой статье.

Я и ранее знал о существовании "проблемы", но даже не подозревал, что всё настолько плохо. Кулстори из разряда "с подключением", но вы сейчас сами офигеете от масштабов проблемы конфиденциальности ваших данных.

Неделю назад я установил на телефон на ОС Android браузер DuckDuckGo и включил в нём блокировку отслеживания сторонними приложениями.

За неделю на момент написания этой статьи было предотвращено 87+ тысяч попыток отслеживания 35 приложениями.

И эти 87,5 тысяч попыток даже не потолок, т.к. я регулярно "гасил" слишком офигевшие приложения, в которых за 10–30 минут использования было предотвращено 3–8 тысяч попыток отслеживания, т.е. буквально каждую секунду отслеживаются и отправляются огромные пакеты данных.

В неделе всего 604 800 секунд. Делим это число на 87 512 и получаем, что телефон в среднем за неделю что-то пытался отслеживать каждые 7 секунд.

Запись экрана, как в DuckDuckGo в режиме реального времени отслеживаемые приложения меняют порядок по последнему активному. И каждую секунду сверху обновляется общий счётчик попыток отслеживания, а у приложений число меняется в скобочках.

У меня за неделю обычного повседневного использования телефона таких приложений-шпионов оказалось 35. Какой портрет собирается в каких приложениях на вашем телефоне — это совершенно индивидуальная история для каждого.

Позапрещал передачу данных в фоне суммарно, может, паре десятков разных приложений, части из которых интернет для работы вообще не нужен, типа будильника, калькулятора, галереи, фоторедактора, видеоредактора, QR-сканнера и прочих подобных.

Если вы как и я не нуждаетесь в фоновой выгрузке фоток и видео в облачное хранилище, заходим в настройки и отключаем фоновую передачу данных в оффлайн приложениях.

В некоторых передававших данные приложениях я даже не залогинен в аккаунт и не открывал их более полугода, кэш этих приложений и данные в них очищены до заводских установок, но им это не мешает передавать данные ежедневно сразу нескольким третьим лицам. Ну просто блестяще.

Крупнейшие провайдеры рекламы, различные системы аналитики и просто сервисы сбора данных, которые потом предоставляют другим рекламным системам собранные данные, естественно, на взаимовыгодных условиях.

1. Google
2. Facebook
3. Amazon
4. Microsoft
5. Яндекс
6. Twitter
7. Adobe
8. Verizon Media
9. Adjust
10. Bugsnag
11. AppsFlyer
12. Amplitude
13. Smartadserver
14. Instabug
15. Branch Metrics
16. comScore
17. Functional Software
18. Criteo
19. Tappx
20. Unity
21. Vungle
22. Braze
23. Urban Airship
24. New Relic
25. ByteDance

Этот список компаний я выписал прямо из DuckDuckGo, открыв те 35 приложений, трекинг в которых был заблокирован за неделю. Естественно, это неполный список компаний, которые отслеживают данные в приложениях.

Таких компаний сотни. Чтобы увидеть, насколько он больше, достаточно зайти на любой европейский сайт, например, Euronews, и почитать в настройках cookies, каким именно третьим лицам передаются данные. Список компаний ужасающий.

Всеми любименький Instagram (Meta) собирает и передаёт данные в Google, Twitter, Microsoft (внезапно, да?), Amplitude, ByteDance, Functional Software.

Яндекс тоже не остался не у дел. Из 35 приложений, в которых за неделю были предотвращены попытки отслеживаний, Яндекс был уличён в четырёх. Но это не значит, что отслеживается только 4 приложения. Это четыре только из тех, которыми я пользовался за последние 7 дней, или которые что-то там сами в фоне передавали у меня на телефоне.

На скриншотах выше вы уже можете видеть некоторые данные. Я собрал из разных приложений общий список, который, естественно, неполный из-за того, что в каждом приложении отслеживаются разные данные. Например, не каждое отслеживало Данные акселерометра и Данные вращения. Но вот примерно то, что о вас обо всех знают крупнейшие провайдеры рекламы, системы аналитики и сервисы сбора данных:

Обратите внимание на то, что выделено красным маркером. Передачу этих данных в связке с Cookie-файлами я считаю вообще полным безумием.

За возможность идентификации по файлам Cookies реальной личности Google Analytics был запрещён в нескольких странах Европейского Союза (Австрии, Франции), т.е. его использование на сайтах признано незаконным. Привет от закона GDPR с его сумасшедшими штрафами.

И правозащитники продолжают щемить Google Analytics, добиваясь его бана в Германии, Нидерландах и других странах-членах ЕС.

А то, что в конкретной стране гнилое дырявое днище в охране персональных данных, это не проблема охраны персональных данных, а лишь проблема конкретной страны.

Вспомним рекордные В ИСТОРИИ штрафы за нарушение конфиденциальности, которые получали зарубежные компании:

• 3-е место: Ирландия оштрафовала Instagram на рекордные €405 млн из-за бизнес-аккаунтов для детей
• 2-е место: Amazon получил в Евросоюзе рекордный штраф в $887 млн
  
• 1-е место: Федеральная торговая комиссия США оштрафовала Facebook на рекордную сумму $5 млрд за утечку данных миллионов пользователей в компанию Cambridge Analytica, которая консультировала штаб Трампа.

И вспомним, какие штрафы были за недавние утечки баз данных пользователей всем известных отечественных сервисов по доставке чего угодно? Эти штрафы даже пенсионер может со своего кармана оплатить. Это просто издёвка, а не охрана конфиденциальных данных.

Отсюда и пользователи отечественных интернетов всё это хавают и уже реагируют на подобные отечественные инциденты как "ну и чо, лол, в первый раз что ли, шатали мы ваши данные, всё равно никому ничего за это не будет".

• Скачать приложение DuckDuckGo, зайти в его настройки и включить запрет отслеживания. Я пользователь ОС Android и я не знаю, есть ли подобное приложение для iOS, да и не интересно мне это от слова совсем. Проверьте в магазине приложений Apple.

Самим браузером DuckDuckGo пользоваться необязательно, трафик пропускается через локальный VPN, и трекеры всех остальных приложений блокируются по всей ОС. Я продолжаю юзать браузер Chrome.

Кстати, я очень удивлен, что ни одно из приложений экосистемы Google не фигурировало в списке тех, которые что-то отслеживали. Но какая разница, если практически в каждом приложении, которые что-то отслеживали, в списке вендоров присутствует Google. Мало того, что со своей экосистемы собрал все данные до последней капли, так ещё и с других компаний дособирал то, что не дособрал своими силами.

Вот даже не знаю, что будет тратить больше аккумулятора, отслеживание и передача ста тысяч раз разных пакетов данных или одно работающее приложение в фоне, блокирующее все трекеры.

• В тех приложениях, которым точно не нужен доступ к интернету для сохранения полной работоспособности, запрещаем фоновую передачу данных.

• В настройках разрешений к различным функциям телефона просматриваем каждый раздел разрешений и убираем галочки с тех приложений, которым вы не хотите давать доступ к этому типу данных.

• При установке новых приложений, тем более из незнакомых источников, обращать внимание на то, какие разрешения вы предоставляете приложению при первом его открытии. Нынче даже самые безобидные, как казалось бы на первый взгляд, приложения с самым простым функционалом или игры для отвлечения внимания (простейшие "тыкалки по экрану" для сидения в туалете или для поездок в общественном транспорте) штампуются и копируются разработчиками пачками не для того, чтобы вам предоставить гениальную идею приложения или игры, а лишь для их монетизации рекламными объявлениями и внутриигровыми покупками, которые работают по принципу "pay to win", где ты пока не задонатишь на "лут", у тебя нет ни малейшего шанса тягаться с остальными "вкачанными" игроками.

Забавно, что отреагировавшие на статью поделились на две категории:

• либо поставили лайк
• либо пошли лить желчь в комментарии, типа а вы чо, не знали что ли?
  

Нет, ребята, я не знал, что таких отслеживаемых событий почти сто тысяч в неделю. А в месяц что, получается, почти полмиллиона? Ну класс вообще.

Действительно, и чему тут удивляться, об этом же все знают и говорят об этом из каждого утюга не менее 9000 раз каждый день.

И, естественно, каждый день ведь публикуются доказательства того, что Meta, Google, Twitter и Microsoft сливают друг другу данные своих приложений. А то до сих пор пользователи этих ваших интернетов удивляются с круглыми глазами, как вообще такое возможно, что они делают какие-то действия в одном приложении одной компании, а рекламная система другой компании мгновенно знает о них абсолютно всё.

Также на тему безопасности данных я описывал случай, чуть не ставший для меня печальным, но много людей, к сожалению, уже пострадали:

Ещё больше полезностей я пишу в ТГ канале PPC для сверхразумов и делюсь интересными вещами о контекстной рекламе, неочевидных аналитических приёмах в Power BI, Looker Studio (Google Data Sudio) и Excel.

• Масштабы фрода в РСЯ ещё никогда не были настолько вопиющими — клики в РСЯ по 2, 5, 10 тысяч рублей (часть 1, часть 2, часть 3)
  
• Что делать, если в Яндекс Директ для оплаты за конверсии не хватает минимальных 10 конверсий в неделю? (часть 1, часть 2, часть 3)
  
• Есть ли возможность исключить семантический тип соответствия в Яндекс Директ и оставить только пословный? (часть 1, часть 2, часть 3, часть 4)
• 51 филиал в 10 городах за 7 лет. 130+ шагов повышения конверсии сайта
  
• 59% кликов в Яндекс Директ пришлось на уникальные поисковые запросы с 1 показом
• Как можно использовать аффинити индекс для look-alike аудиторий в Яндекс Директ?

• Зависит ли линейно цена клика на поиске в Яндекс Директ от размера ставок? И насколько сильно? (часть 1, часть 2, часть 3, часть 4)
• Меньше ли цена конверсии при меньшей цене клика в Яндекс Директ? (часть 1, часть 2, часть 3, часть 4)
• Приносят ли в Яндекс Директ низкочастотные запросы клики дешевле?
• Чем больше в Google Ads слов в ключевой фразе, тем выше по ней конверсия? (часть 1, часть 2)
• Влияет ли на цену клика показатель качества ключевых фраз в Google Ads?
• Влияет ли на показатели статистики поисковых кампаний Яндекс Директ вхождение ключевой фразы в быстрые ссылки и/или в отображаемый URL?

На канале ещё много интересного. Увидимся там.