Android-смартфоны уличили в слежке за пользователями

Даже если пользователь Android-смартфона удалил наиболее подозрительные приложения, отключил отслеживание в настройках и принял все необходимые меры, этого недостаточно для того, чтобы устройство перестало следить за ним. Об этом свидетельствует исследование экспертов из Дублинского Тринити-колледжа.

Исследователи проанализировали схемы передачи данных некоторых популярных версий ОС Android, включая варианты, разработанные Samsung, Xiaomi и Huawei. Оказалось, что готовые устройства даже в режиме ожидания постоянно отправляют информацию разработчикам ОС и некоторым сторонним компаниям. В то же время зачастую нет никаких возможностей остановить эти процессы.

Значительная часть ответственности лежит на системных приложениях, предварительно установленных производителями устройств для обеспечения функциональности, например, приложений для камеры или приложений, предназначенных для обмена сообщениями. Такое программное обеспечение обычно невозможно удалить или изменить без доступа root, поэтому они будут отправлять информацию разработчикам, даже если они никогда не открывались.

В частности, выяснилось, что приложение LinkedIn, предустановленное Samsung, регулярно отправляет информацию об устройстве на серверы Microsoft. Данные включают "телеметрию", включая уникальный идентификатор и количество установленных приложений Microsoft. Эта информация также передается другим компаниям, в том числе разработчикам показателей, используемых приложениями (крупнейшим из которых является Google).

Такая практика характерна не только для Samsung. Например, приложение "Сообщения" на смартфонах Xiaomi отправляет в Google все виды данных, включая журналы времени каждый раз, когда пользователь отправлял текст. Нечто подобное происходит и со смартфонами Huawei.

В основном речь идет о технических данных, отправка которых не сильно беспокоит обычных пользователей — информация о модели устройства и размере дисплея, идентификаторы, такие как серийный номер смартфона или аналогичная информация. Каждая из этих деталей по отдельности не позволяет идентифицировать владельца смартфона, но вместе они образуют уникальный "отпечаток пальца", по которому вы можете легко отследить устройство. Приложения, не имеющие прямого отношения к Android, часто используют свои собственные идентификаторы, которые позволяют довольно легко установить владельца.

В связи с этим Google недавно ограничил возможности приложений — разработчикам сообщают, что запрещено связывать идентификаторы рекламных устройств и более важные данные, такие как IMEI. И хотя разработчики аналитических приложений могут устанавливать такое соединение, они обязаны делать это с прямого согласия пользователя.

В то же время Google практически не ограничивает разработчиков в праве собирать всевозможную информацию, в основном ограничивая ее использование. Сбор данных продолжается даже в фоновом режиме до тех пор, пока пользователь не удалит программное обеспечение сложными способами или смартфон не выйдет из строя и не будет выброшен. На вопрос журналистов о сборе данных Google лаконично ответил, что так работают современные смартфоны, и сбор ограниченного объема данных необходим для работы основных сервисов в экосистемах устройств, например, IMEI используется для идентификации при доставке исправлений, устраняющих критические уязвимости.

В ходе исследования использовалось устройство, работающее под управлением так называемой "/e/OS" — операционной системы на базе Android, в которой многие приложения были заменены эквивалентами без необходимости входа в учетную запись Google для работы. Оказалось, что смартфон вполне может нормально функционировать без отправки данных куда-либо в фоновом режиме. Другими словами, такое "отслеживание" необходимо только тем, кто не представляет себя вне экосистемы Google.

В последнее время регулирующие органы во многих регионах, включая США и ЕС, целенаправленно ужесточили правила обработки данных технологическими гигантами, которые позволяют идентифицировать пользователей. Тем не менее "анонимная" информация, включая спецификации устройств и их идентификаторы, обычно не подпадает под действие этих законов, хотя ее легко можно использовать для идентификации.

PriceMedia