Виявлено зв’язки популярного Крипто додатка з компанією з відстеження даних: звіт

Android-версії популярного додатка для Криптовалюта Bitcoin Ticker Widget і, здавалося б, клон Steemit, Steemit Earn Money, включали інструменти для розробки програмного забезпечення (SDK), які витягують велику кількість даних про користувачів у минулому та потенційно пов’язані з кодом відстеження місцезнаходження від сумнозвісної компанії X-Mode, що займається відстеженням даних, згідно з даними новий звіт від Express VPN Digital Security Lab. Два інших додатки для особистих Фінанси також містять ці трекери даних.

«Ми хотіли сказати споживачам: «Це величезна проблема; ви можете про це не знати», — сказав Шон О’Брайен, головний дослідник компанії Лабораторія цифрової безпеки ExpressVPN. "Не дивлячись на те, що ці програми T є величезними брендами, ці програми були завантажені 1,7 мільярда разів разом і мільйони разів для кожної окремої програми. Вони працюють на телефонах людей у ​​їхніх кишенях. Люди використовують їх для знайомств, соціальних мереж і фінансів, але вони не повністю усвідомлюють кількість даних, які збираються".

Збір персональних даних

Хоча є багато компаній, які купують і продають доступ до даних про місцезнаходження, зібраних з телефонів людей, які нічого не підозрюють, X-Mode потрапила під пильну увагу після того, як було виявлено її зв’язки з державними підрядниками та військовими.

У листопаді 2020 р. Про це повідомляє Vice X-Mode отримував детальні дані про місцезнаходження з кількох мусульманських молитовних додатків, а потім продавав ці дані «підрядникам і, відповідно, військовим».

Читайте також: Від заміни SIM-карти до загроз домашнього вторгнення, витік Ledger має каскадні наслідки

У цьому новому звіті, набагато більш детальному дослідженні цієї проблеми, виявлено, що код X-Mode був у 44% із 450 проаналізованих програм, і ці програми були завантажені принаймні мільярд разів.

«Ці програми є глобальними та включають програми для здоров’я, а також програми погоди, ігри та фотофільтри для макіяжу», — йдеться у звіті.

"Вони працюють на телефонах людей у ​​їхніх кишенях. Люди використовують їх для побачень, соціальних і фінансових питань, але вони не повністю усвідомлюють кількість даних, які збираються".

Хоча Steemit Earn Money було завантажено лише близько 100 разів, Bitcoin Ticker Widget було завантажено понад 1 мільйон разів.

У грудні Apple і Google попросили розробників видалити X-Mode зі своїх додатків або заборонять доступ до своїх магазинів додатків, але до кінця січня, згідно зі звітом, багато додатків ще не відповідали вимогам, що було підтверджено TechCrunch принаймні в ONE випадку.

Загалом у дослідженні було вивчено 450 програм Android для відстеження даних.

Пакети SDK і брокери даних X-Mode

Пакети SDK – це базові інструменти, які спрощують і спрощують розробникам створення програм. З огляду на це, ці інструменти можуть містити код, який T є необхідним для CORE функції програми. Цей додатковий код може відстежувати місцезнаходження, витягувати дані та загалом передавати інформацію творцю SDK. Потім цю інформацію можна поширювати або продавати для використання в різних цілях.

Коли користувачі завантажують програму та приймають її умови обслуговування та Політика Політика конфіденційності , вони можуть ненавмисно вибрати ці форми збору даних, навіть якщо їм не повідомляють, у чиї саме руки можуть потрапити дані. Такі практики є поширеними у світі націлювання реклами, але, як було задокументовано раніше, дані також можуть опинитися в руках правоохоронних органів (навіть без ордера), мисливці за головами та інші.

Читайте також: Як позов проти IRS намагається розширити Політика конфіденційності для користувачів Крипто

«У X-Mode SDK містяться посилання на код п’яти постачальників даних», — сказав О’Брайен. "Це інші організації, які люди вільно називають "брокерами даних". Іноді вони фактично продають дані, а іноді – ні. Хоча це дещо складно, ці п’ять організацій є в основному відомими брендами в цьому просторі спостереження за місцем розташування".

«Здається, через те, що міститься в коді, відбувається те, що ці постачальники даних мають певні ділові стосунки з X-mode, поточні чи попередні», — сказав О’Брайен. «І якщо вони ввімкнені в цих програмах, тоді ці постачальники також отримують певну інформацію з програми, яка має X-mode SDK».

OneAudience, Opensignal і відстеження даних про місцезнаходження

OneAudience, включений як у віджет Bitcoin Ticker, так і в Steemit Earn Money, був ONE із трекерів «посередника даних», на який посилається код X-Mode як частина SDK. Це було предметом заборони і позов від Facebook через порушення Політика конфіденційності даних через дані, які збирав OneAudience SDK.

У лютому 2020 року Twitter і Facebook заявили, що «OneAudience збирав особисті дані, такі як імена людей, стать, електронні адреси, імена користувачів і, можливо, останні твіти людей» до такої міри, що її порівняли з Cambridge Analytica скандал. SDK було закрито наприкінці 2019 року.

Інший трекер даних, Opensignal, в основному функціонує як картограф WiFi, за допомогою якого можна визначити місцезнаходження користувачів.

У своєму позові проти OneAudience, згідно Recode, Facebook стверджував, що «OneAudience також платив додаткам за збір інформації користувачів Google і Twitter, коли вони входили в ONE із скомпрометованих додатків, використовуючи дані свого облікового запису Google або Twitter».

Читайте також: Ця невловима шкідлива програма націлена на Крипто протягом року

OneAudience, закриваючи SDK, який був предметом позову, сказав: "Нас повідомили, що особиста інформація з сотень ідентифікаторів мобільних пристроїв могла бути передана на нашу платформу OneAudience. Ці дані ніколи не передбачалися для збору, ніколи не додавалися до нашої бази даних і ніколи не використовувалися".

З іншого боку, бізнес-модель Opensignal в першу чергу залежить від варіанту використання відображення Wi-Fi.

«Питання в тому, скільки даних Wi-Fi вони збирають?» — запитав О’Брайен.

У своєму Політика Політика конфіденційності, Opensignal заявляє, що збирає дані про геолокацію, «тип мережі, оператора мережі, потужність і якість сигналу стільникового зв’язку та WiFi, а також ідентифікатори підключених стільникових веж і маршрутизаторів WiFi».

OneAudience не відповів на Request про коментар. Opensignal у відповідь на Request про коментарі спрямував читачів до своєї Хартії Політика конфіденційності даних.

«Багата кількість» персональних даних

Відступаючи назад і дивлячись на звіт і мережевий трафік від цих програм, О'Брайен робить два важливі висновки, коли мова йде про вплив на Політика конфіденційності ваших даних.

"Зазвичай дані обробляються не дуже добре", - сказав він. «Існує велика кількість даних, які можна використовувати як ідентифікатор особи, яка проходить через трубу, навіть якщо місцезнаходження є єдиною названою причиною, чому дані збираються».

Якщо ви вирішите KEEP використовувати такі програми, як Bitcoin Ticker Widget і Steemit Earn Money, є способи обмежити їхні можливості відстеження даних. О'Брайен сказав, що користувачі повинні зайти в налаштування та перевірити дозволи для програми, особливо дозволи на місцезнаходження, і скасувати їх.

«Це може означати, що додаток стає менш функціональним або відображає набридливі екрани із запитом дозволу», — сказав він. "Інакше, на жаль, єдиним іншим кроком є ​​видалення програми. Якщо ви проживаєте в Каліфорнії або [Європейському Союзі], можливо, вам знадобляться деякі інші кроки щодо запиту на видалення інформації або принаймні запиту копії інформації, яка у них є".