Популярное Криптo оказалось связано с компанией по отслеживанию данных: отчет

Android-версии популярного Криптовалюта приложения Bitcoin Ticker Widget и кажущегося клона Steemit, Steemit Earn Money, включают в себя инструменты комплекта разработки программного обеспечения (SDK), которые извлекают обширные данные о пользователях в прошлом и потенциально связаны с кодом отслеживания местоположения от X-Mode — печально известной компании по отслеживанию данных, согласноновый отчет от Express VPN Digital Security Lab. Было обнаружено, что еще два приложения для учета личных Финансы также содержат подобные трекеры данных.

«Мы хотели сказать потребителям: «Это огромная проблема; вы можете не знать об этом», — сказал Шон О’Брайен, главный научный сотрудникЛаборатория цифровой безопасности ExpressVPN. «Хотя эти приложения T все являются крупными брендами, их скачали 1,7 миллиарда раз в совокупности и миллионы раз каждое отдельное приложение. Они работают на телефонах людей в их карманах. Люди используют их для знакомств, общения и финансов, но они не полностью осознают объем собираемых данных».

Сбор персональных данных

Хотя существует множество компаний, которые покупают и продают доступ к данным о местоположении, собранным с телефонов ничего не подозревающих людей, X-Mode оказалась под пристальным вниманием после того, как были раскрыты ее связи с государственными подрядчиками и военными.

В ноябре 2020 годаВице сообщилX-Mode получал подробные данные о местоположении из нескольких мусульманских молитвенных приложений, а затем продавал эти данные «подрядчикам и, соответственно, военным».

Читать дальше: От подмены SIM-карт до угроз вторжения в жилище: утечка Ledger имеет каскадные последствия

В новом отчете, представляющем собой гораздо более обширное расследование этой проблемы, было обнаружено, что код X-Mode присутствовал в 44% из 450 проанализированных приложений, и эти приложения были загружены не менее миллиарда раз.

«Эти приложения являются глобальными и включают в себя приложения для здоровья, прогнозы погоды, игры и фильтры для макияжа для фотографий», — говорится в отчете.

«Они работают на телефонах людей в их карманах. Люди используют их для знакомств, общения и финансов, но они не осознают в полной мере объем данных, которые они собирают».

В то время как Steemit Earn Money был загружен всего около 100 раз, Bitcoin Ticker Widget был загружен более 1 миллиона раз.

В декабре Apple и Google сказали разработчикамудалять X-Mode из своих приложений или быть заблокированным в своих магазинах приложений, однако, как выяснилось в отчете, к концу января многие приложения еще не выполнили требования, что было подтверждено TechCrunch по крайней мере в ONE случае.

В целом в ходе исследования было изучено 450 приложений Android для отслеживания данных.

SDK и брокеры данных X-Mode

SDK — это основополагающие инструменты, которые ускоряют и упрощают разработчикам создание приложений. При этом эти инструменты могут содержать код, который T является необходимым для CORE функции приложения. Этот дополнительный код может отслеживать местоположение, извлекать данные и, как правило, передавать информацию обратно создателю SDK. Затем эта информация может быть передана или продана для использования в различных целях.

Когда пользователи загружают приложение и принимают его условия обслуживания и Политика Политика конфиденциальности , они могут непреднамеренно согласиться на эти формы сбора данных, даже если им не сообщают, в чьих руках могут оказаться эти данные. Подобные практики распространены в мире таргетированной рекламы, но, как было ранее задокументировано, данные также могут оказаться в руках правоохранительных органов(даже без ордера), охотники за головами и другие.

Читать дальше: Как иск против IRS пытается расширить Политика конфиденциальности пользователей Криптo

«Внутри X-Mode SDK есть ссылки на код пяти поставщиков данных», — сказал О'Брайен. «Это другие сущности, которые люди свободно называют «брокерами данных». Иногда они занимаются реальной продажей данных, а иногда — нет. Хотя это и довольно сложно, эти пять сущностей в основном являются известными брендами в этой области наблюдения за местоположением».

«Кажется, что из-за того, что написано в коде, эти поставщики данных имеют какие-то деловые отношения с X-mode, текущие или предыдущие», — сказал О'Брайен. «И если они включены в эти приложения, то эти поставщики также получают некоторую информацию из приложения, в котором есть X-mode SDK».

OneAudience, Opensignal и отслеживание данных о местоположении

OneAudience, включенный как в Bitcoin Ticker Widget, так и в Steemit Earn Money, был ONE из трекеров «брокеров данных», упомянутых в коде X-Mode как часть SDK. Он был предметом запрета и иск от Facebook из-за нарушений Политика конфиденциальности данных, связанных со сбором данных с помощью SDK OneAudience.

В феврале 2020 года Twitter и Facebook заявили, что «OneAudience собирает личные данные, такие как имена людей, пол, адреса электронной почты, имена пользователей и, возможно, последние твиты людей» в таких масштабах, что ее сравнивают сКембридж АналитикаСкандал. SDK закрыли в конце 2019 года.

Другой трекер данных, Opensignal, в первую очередь выполняет функцию картографа WiFi, с помощью которого можно определить местоположение пользователей.

В своем иске против OneAudience,согласно РекодуFacebook утверждает, что «OneAudience также платила приложениям за сбор информации о пользователях Google и Twitter, когда они входили в ONE из взломанных приложений, используя данные своих учетных записей Google или Twitter».

Читать дальше: Эта неуловимая вредоносная программа уже год атакует Криптo

OneAudience, закрывая SDK, который был предметом иска, заявила: «Нам сообщили, что личная информация с сотен мобильных идентификаторов могла быть передана на нашу платформу OneAudience. Эти данные никогда не предназначались для сбора, никогда не добавлялись в нашу базу данных и никогда не использовались».

С другой стороны, бизнес-модель Opensignal в первую очередь зависит от варианта использования Wi-Fi-картографирования.

«Вопрос в том, какой объем данных Wi-Fi они собирают?» — спросил О'Брайен.

В своемПолитика Политика конфиденциальностиOpensignal заявляет, что собирает данные о геолокации, «типе сети, сетевом операторе, силе и качестве сигнала сотовой связи и WiFi, а также идентификаторы подключенных вышек сотовой связи и маршрутизаторов WiFi».

OneAudience не ответил на Request о комментарии. Opensignal в ответ на Request о комментарии, направил читателей к своей Хартии Политика конфиденциальности данных.

«Большое количество» персональных данных

Оглядываясь назад и анализируя отчет и сетевой трафик этих приложений, О'Брайен делает два важных вывода относительно влияния на Политика конфиденциальности ваших данных.

«Обычно данные обрабатываются не очень хорошо, — сказал он. — И есть большой объем данных, которые можно использовать в качестве идентификатора человека, проходящего через канал, даже если местоположение — единственная указанная причина, по которой данные собираются».

Если вы решите KEEP использовать приложения вроде Bitcoin Ticker Widget и Steemit Earn Money, есть способы ограничить их возможности отслеживания данных. О'Брайен сказал, что пользователи должны зайти в настройки и проверить разрешения для приложения, особенно разрешения на местоположение, и отозвать их.

«Это может означать, что приложение станет менее функциональным или будет показывать надоедливые экраны с просьбой о разрешении», — сказал он. «В противном случае, к сожалению, единственный оставшийся шаг — удалить приложение. Если вы житель Калифорнии или [Евросоюза], могут быть некоторые другие шаги, которые нужно предпринять, чтобы запросить удаление информации или, по крайней мере, запросить копию имеющейся у них информации».