Ты, я и Facebook: не посвящайте приложения в личные тайны

Представители Privacy International рассказали, какие данные сливают своим партнерам приложения для отслеживания месячных.

Представители Privacy International рассказали, какие данные сливают своим партнерам приложения для отслеживания месячных.

Для смартфонов полно программ, которые так или иначе связаны с нашим здоровьем. Специальные приложения напоминают, когда пора принимать лекарства, позволяют отслеживать качество сна, подсчитывают шаги, калории и не только. Часто такие программы требуют делиться с ними очень личными данными — информацией о вашем самочувствии, настроении, диагнозах и так далее. В большинстве случаев эта информация действительно нужна им для работы. Но, увы, далеко не все они обращаются с ней аккуратно.

На 36-й конференции Chaos Communication Congress (36C3) представители правозащитной организации Privacy International поделились результатами исследования очень интимных приложений — для отслеживания менструального цикла. Эти приложения помогают женщинам прогнозировать месячные, следить за репродуктивным здоровьем, планировать беременность. Как выяснилось, некоторые из них злоупотребляли доверием пользователей и передавали их интимную информацию… в Facebook! И не только.

Что именно приложения отправляли в Facebook

В рамках доклада исследователи подробно разобрали две программы — Maya и MIA (5 миллионов и 1 миллион скачиваний в Google Play соответственно). В сущности, исследование было очень простым: ребята из Privacy International просто смотрели на исходящий трафик приложений, запущенных в специальной песочнице, и анализировали, какую информацию они передают и куда. Результаты оказались более чем интересными.

Обе программы при первом же запуске — еще до того, как пользователи ознакомились с их политикой конфиденциальности — связывались с Facebook и другими партнерами: приложение Maya отправляло данные аналитической платформе CleverTap, а MIA — компании AppsFlyer, тоже предоставляющей разработчикам аналитические услуги.

Приложение MIA также первым делом интересовалось: поставили ли его для того, чтобы планировать беременность, или просто чтобы отслеживать цикл, — и тут же отправляло ответ партнерам. Та же судьба ожидала подробности о менструальном цикле женщины: когда наступают месячные, сколько длятся и так далее. В дальнейшем программа пыталась узнать о пользователях как можно больше: как они себя чувствуют, какие контрацептивы принимают, предохраняются ли при сексе, как часто пьют кофе и алкоголь, курят ли. Приложение интересовалось даже такими не связанные с женским здоровьем вещами, как прическа и маникюр.

На основе собранной информации, а также собственных выводов о том, в какой фазе цикла находится женщина, программа предлагала ей тематические статьи. Казалось бы, безобидная и даже полезная функция, если бы не одно но: список статей, из которых можно однозначно понять, что именно пользователи сообщили приложению, отправлялся в Facebook и AppsFlyer.

Приложение Maya подошло к вопросу менее креативно: оно просто передавало партнерам все, что в него вводили — информацию о самочувствии, настроении, контрацептивах и средствах личной гигиены, сексе и так далее. Программа не спрашивала о прическе и маникюре, зато предлагала вести личный дневник… и педантично отправляла в Facebook и CleverTap его содержимое.

Вместе со всей информацией приложения передают и другие личные данные, такие как адрес электронной почты или уникальный идентификатор телефона. Если у вас вообще есть аккаунт в Facebook, то этой информации вполне может хватить, чтобы вас идентифицировать, даже если приложение Facebook у вас на телефоне не установлено. То есть Facebook вполне в состоянии понять, что все это — именно ваши данные.

Зачем компаниям настолько личные данные

Располагая информацией о вашем здоровье, настроении и интимной жизни, рекламные сети, в том числе Facebook, могут эффективнее продавать товары рекламодателей и получать с них больше денег. Например, целевая реклама для беременных женщин стоит в десятки раз дороже, чем объявления для всех пользователей без разбора, поскольку шансы на покупку в этом случае выше.

Беременная женщина, скорее всего, планирует приобрести, скажем, коляску или ползунки, в то время как все остальные интересуются такими товарами гораздо реже. К тому же она с некоторой вероятностью раньше не покупала ни того, ни другого и не ориентируется в брендах, так что у рекламодателей есть все шансы повлиять на ее выбор.

Но реклама — это еще не самое большое зло. Если такая чувствительная информация, как ваше интимная жизнь и состояние здоровья, попадет не в те руки, она может повлиять, например, на стоимость медицинской страховки. Зная о том, что соискательница планирует забеременеть, потенциальный работодатель может предпочесть ей другого кандидата. Беременную женщину могут не пустить на международный рейс. Наконец, вы сами вряд ли готовы делиться с Facebook подробностями, которые не всякий обсуждает даже с самыми близкими людьми.

Нужно ли приложениям знать о вас все?

Разработчики приложения Maya утверждают, что все данные, которые запрашивает программа, необходимы для ее работы. Отчасти это правда: гормональные препараты, которые вы принимаете, повышенный стресс или вредные привычки вроде курения могут изменить цикл, а перепады настроения, боли в животе и некоторые другие симптомы — свидетельствовать о приближении месячных. Однако значительная часть запрашиваемой информации или мало влияет на точность расчетов, или вообще бесполезна для них. Подумайте сами, какая может быть связь между месячными и прической?

Разработчики отказались от аналитики Facebook

Во всей этой истории есть и хорошая новость: приложения Maya и MIA информацию в Facebook больше не передают. Исследователи связались с разработчиками, и те оперативно удалили аналитический модуль соцсети — именно он отвечал за отправку данных. Правда, другими платформами — CleverTap и AppsFlyer — они продолжают пользоваться. То есть получается, что передача данных в Facebook была не особо-то и нужна, просто разработчики интегрировали дополнительную систему аналитики, не очень задумываясь о том, какие данные и куда она передает.

Авторы Maya утверждают, что третьи лица не имеют доступа к информации на серверах CleverTap, а разработчики самой платформы отмечают, что их решение соответствует требованиям Общего регламента по защите данных (GDPR) и что аналитические алгоритмы обрабатывают обезличенные массивы данных. Если дела обстоят именно так, можно считать, что угроза приватности от этого приложения теперь минимальна.

С MIA, которое обращается к аналитике AppsFlyer, все интереснее. Представители AppsFlyer в ответ на запрос исследователей сообщили, что запрещают клиентам собирать сугубо личные данные пользователей, в том числе информацию о здоровье. Они утверждают, что связались с разработчиками приложения MIA, чтобы те пересмотрели свой подход к аналитике. Правда, как отмечают исследователи, не очень понятно, какие данные, по мнению создателей AppsFlyer, должны предоставлять платформе программы, работающие именно с информацией о здоровье.

Как избежать злоупотребления личными данными

Какие выводы можно сделать из этой истории? Сообщая любые, особенно интимные, данные каким бы то ни было приложениям, стоит помнить, что они могут с кем-то делиться полученной информацией. Это, в общем-то, цена удобств, которые эти программы вам предоставляют. Если вы не готовы отказаться от возможностей таких приложений, учтите следующие рекомендации:

  • Выбирайте приложения с умом. Читайте отзывы в Google Play и App Store, проверяйте, что пишут о разработчиках в Интернете. Возможно, интересующую вас программу уже поймали на отправке данных. Или наоборот — изучили и не обнаружили в ней ничего предосудительного. Так тоже бывает.
  • Если приложению для работы нужны чувствительные данные о вас, ознакомьтесь с его политикой конфиденциальности. В ней может прямым текстом говориться, что разработчики передают данные третьим лицам (то есть посторонним компаниям), и это — плохой знак. Впрочем, даже если конкретно такого пункта нет, но формулировки в политике чересчур общие или и вовсе непонятные — возможно, авторы пытаются что-то скрыть, и с такими приложениями тоже лучше быть поосторожнее.
  • Если вам нужно приложение для отслеживания менструального цикла, то как минимум два из них — Maya и MIA — уже перестали сотрудничать с Facebook. Кроме того, в отчете об исследовании называются и другие программы, за которыми не заметили никаких порочных практик.
  • Не сообщайте приложениям лишнего. Подумайте, какая информация действительно нужна для их работы, а без какой они могут обойтись. Это не значит, что нужно вернуться в век бумаги и чернил. Просто лучше понимать, что информация, передаваемая приложениям, вряд ли останется полностью приватной.
Советы