Почему не стоит доверять оценке конфиденциальности приложений в App Store

В iOS 14 добавили немало мер, повышающих прозрачность использования данных разными сервисами и приложениями. Появились индикаторы использования камеры и микрофона, а в App Store на страницах программ теперь есть раздел “Конфиденциальность приложения”. В нём указывается, какую информацию оно собирает и передаёт куда-либо.

Издание The Washington Post провело небольшое расследование и проанализировало, какие данные действительно собирают десятки приложений, получившие высшую оценку конфиденциальности в App Store — “Сбор данных не ведётся”. Для этого использовали программу Privacy Pro, которая проверяет наличие в приложениях SDK для отправки собранной информации.

Полученные данные помог проанализировать эксперт из Disconnect — компании, специализирующейся на безопасности в Сети и создавшей Privacy Pro. Особенное внимание уделялось тому, передаётся ли IDFA — уникальный идентификатор устройства, который позволяет сверять и соотносить данные, собранные разными способами.

Вот лишь несколько примеров того, что удалось обнаружить:

• Детская игра Satisfying Slime Simulator отправляет данные Facebook*, Google и сервису GameAnalytics. Она передаёт Unity не только IDFA, но также данные об уровне батареи, свободном месте на устройстве, приблизительную геолокацию и даже уровень громкости.
• Клиент соцсети Rumble передаёт Facebook* и Google вместе с IDFA ещё и анализ того, как пользователь взаимодействует с приложением. В ответ на письмо автора исследования разработчики изменили описание конфиденциальности.
• Картографический сервис Maps.Me, ранее принадлежавший Mail.ru, отправляет данные в Facebook* и Google, а также в аналитическую компанию Flurry и, собственно, Mail.ru. Представители приложения отметили, что просто не успели обновить данные конфиденциальности — и на момент публикации данного материала описание уже действительно изменили.
• Также в подобном уличили FunDo Pro — разработчики не отреагировали на письмо автора, — в то время как PlayerXTreme, Instdown и Whats Direct Chat and Web обновили информацию в App Store.

Аналогичные проблемы наблюдаются и в приложениях, которые, по заявлению разработчиков, собирают только не связанные с пользователем данные. Например, популярная казуальная игра Match 3D, которая якобы не отправляет персональные данные, на самом деле делилась идентификатором с дюжиной различных компаний. На обращение разработчики не ответили, но описание изменили.

Автор отметил, что в среднем одно приложение из трёх проверенных не соответствовало обещанным параметрам конфиденциальности — но выборка недостаточно репрезентативна, чтобы говорить обо всём App Store.

Так или иначе, похоже, что сейчас обещание Apple проводить аудит настроек конфиденциальности не работает должным образом из-за огромного количества ПО в магазине. Но функция появилась совсем недавно и, вероятно, со временем регулярные проверки наведут порядок в приложениях и играх. Пока же не стоит доверять разделу “Конфиденциальность приложения” на слово.

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.