«Безопасность данных» вместо разрешений приложений

В описаниях приложений в Google Play появилась новая секция — «Безопасность данных». Объясняем, почему это не так уж хорошо.

Раздел «Безопасность данных» в Google Play

Начиная с 20 июля все разработчики, публикующие Android-приложения в магазине Google Play, обязаны подробно рассказывать, какие данные они собирают и как их используют. Безусловно позитивное нововведение было отчасти омрачено «оптимизацией»: теперь перед установкой приложения нельзя узнать, к каким источникам данных оно обращается. Коротко рассказываем об изменениях и объясняем, как теперь оценивать риски для вашей приватности.

Что изменилось

В апреле этого года компания Google внедрила новую функциональность для разработчиков в магазине Google Play: появилась возможность указывать, какие данные собирает приложение и в каких целях использует. После 20 июля возможность превратилась в обязанность: разработчики, которые не добавят такие описания, рискуют нарваться на удаление их приложений из магазина.

Выглядит это описание в специальном разделе «Безопасность данных» или Data Safety на Google Play примерно так:

Информацию о собираемых данных можно посмотреть прямо в магазине Google Play до установки

Также можно посмотреть подробный список собираемых данных:

Разработчики теперь обязаны рассказывать, какие данные собирают

Это позитивное изменение произошло вслед за аналогичными действиями компании Apple. Ранее Google позволяла оценить, насколько приложению интересны ваши персональные данные, только косвенно — изучив список разрешений, которые запрашивает приложение. В настройках приложения в Android эти разрешения выглядят так:

Разрешения приложения в настройках Android

Разрешения описывают конкретные источники данных в вашем телефоне, из которых приложение будет собирать данные

Иногда разрешения нужны для полноценной работы программы. Например, почтовому приложению можно предоставить доступ к списку контактов. Но можно и не предоставлять! Более того, напоминаем, что большинство разрешений у приложений можно отозвать в любой момент. Но надо быть готовым к тому, что иногда из-за этого что-то перестанет работать.

13 июля, незадолго до того, как новая сводка о приватности приложений стала обязательной, в сети заметили одно маленькое изменение: в описаниях приложений в магазине появился раздел «Безопасность данных», а вот списки разрешений из них пропали. И это, скажем так, спорное решение.

Почему раздел «Безопасность данных» плохо заменяет «Разрешения приложения»

Да, новый раздел в описании может быть полезен, чтобы принять решение об установке приложений. Например, если какая-то простая утилита для работы требует ваше имя, адрес электронной почты и доступ к фотографиям, есть смысл поискать другую похожую, которая ничего такого не просит.

Однако «Безопасность данных» и «Разрешения приложений» рассказывают совсем не об одном и том же. В первом случае дается ответ на вопрос: «Какие данные будут собираться?». Во втором раскрывается, откуда именно будут брать данные. Это может быть важно для оценки того, насколько критичен для вас сбор этих данных. Скажем, информацию о ваших контактах можно собирать из списка друзей в самом приложении, а можно — из списка контактов в телефоне. Очевидно, что это могут быть очень разные списки — в качестве примера для осмысления можем предложить, скажем, приложение для онлайн-знакомств.

И главное: «Разрешения» в описании приложения на Google Play прописывались автоматически, на основе реальной функциональности программы. А вот раздел «Безопасность данных» разработчики заполняют самостоятельно, вручную. Компания Google лишь надеется, что они будут делать это добросовестно.

Как нам жить дальше

Целью внедрения раздела «Безопасность данных» было предоставить пользователям больше информации о том, как приложение повлияет на приватность. Но одновременно Google уменьшила количество информации, на основе которой вы можете оценивать программу. Вы больше не сможете при просмотре программ в Google Play руководствоваться аргументами типа «зачем приложению-будильнику разрешение на доступ к моим фотографиям и геолокации?». Таких данных там больше нет.

Следует, впрочем, уточнить, что пропал только список разрешений в описаниях приложений в Google Play. Сам по себе механизм разрешений из Android никуда не делся. Приложениям по-прежнему можно разрешать или запрещать доступ к тем или иным источникам информации внутри операционной системы — камере, геолокации, списку контактов и так далее.

Поэтому мы рекомендуем оценивать потенциальный риск для приватности в Android в два этапа. Сначала внимательно изучите, какие данные будет собирать о вас приложение, в разделе «Безопасность данных» в Google Play. Если вас все устраивает, установите приложение и уже после установки проверьте, какие оно запрашивает разрешения. Если вам что-то не нравится, попробуйте не выдавать (или отменить, если уже выдали) ненужные права доступа к данным.

Также следует иметь в виду, что ни уже существовавшие механизмы контроля приватности в Android, ни описанное в этом посте нововведение никак не решают проблему редких, но регулярных появлений в Google Play откровенно вредоносного ПО. Поэтому советуем держать на вашем Android-смартфоне надежное защитное решение.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.