Приложения, загруженные из разных стран, представляют более высокий риск для конфиденциальности

Google и Apple удалили сотни приложений из своих магазинов приложений по запросу правительств по всему миру.

Тем самым компания создала региональные различия в доступе к мобильным приложениям в то время, когда многие страны становятся все более зависимыми от них.

Гиганты мобильных телефонов удалили более 200 китайских приложений, в том числе широко загружаемые приложения, такие как TikTok, по запросу правительства Индии в последние годы.

Точно так же компании удалили LinkedIn, важное приложение для профессионального общения, из российских магазинов приложений по запросу российского правительства.

Однако доступ к приложениям — это только одна проблема. Разработчики также локализуют приложения, то есть выпускают разные версии для разных стран.

Это поднимает вопрос о том, различаются ли эти приложения по своим возможностям безопасности и конфиденциальности в зависимости от региона.

В идеальном мире доступ к приложениям и возможностям обеспечения безопасности и конфиденциальности приложений был бы везде одинаковым.

Популярные мобильные приложения должны быть доступны без увеличения риска того, что за пользователями будут следить или отслеживать в зависимости от того, в какой стране они находятся.

Особенно с учетом того, что не во всех странах действуют строгие правила защиты данных.

Недавно мы с коллегами изучили доступность и политику конфиденциальности тысяч всемирно популярных приложений в Google Play, магазине приложений для устройств Android, в 26 странах.

Мы обнаружили различия в доступности, безопасности и конфиденциальности приложений.

Хотя наше исследование подтверждает сообщения об удалении контента по запросу правительства, мы также обнаружили множество различий, внесенных разработчиками приложений.

Мы обнаружили экземпляры приложений с настройками и раскрытием информации, которые подвергают пользователей более высоким или более низким рискам безопасности и конфиденциальности в зависимости от страны, в которой они были загружены.

Приложения с геоблокировкой

Страны и один специальный административный район в нашем исследовании разнообразны по местоположению, населению и валовому внутреннему продукту.

Среди них США, Германия, Венгрия, Украина, Россия, Южная Корея, Турция, Гонконг и Индия. Мы также включили такие страны, как Иран, Зимбабве и Тунис, где было сложно собрать данные.

Мы изучили 5684 всемирно популярных приложения, каждое из которых было установлено более 1 миллиона раз, из 22 основных категорий приложений, включая «Книги и справочники», «Образование», «Медицина» и «Новости и журналы».

Наше исследование показало большое количество геоблокировок: 3672 из 5684 популярных во всем мире приложений были заблокированы по крайней мере в одной из наших 26 стран.

Количество блокировок со стороны разработчиков было значительно выше, чем количество удалений, запрошенных правительствами во всех наших странах и категориях приложений.

Мы обнаружили, что Иран и Тунис имеют самые высокие показатели блокировки, а такие приложения, как Microsoft Office, Adobe Reader, Flipboard и Google Books, недоступны для загрузки.

Мы обнаружили региональное совпадение в геоблокированных приложениях. В европейских странах в нашем исследовании — Германии, Венгрии, Ирландии и Великобритании — 479 таких же приложений были заблокированы геоблоками.

Восемь из них, в том числе Blued и USA Today News, были заблокированы только в Европейском Союзе, возможно, из-за Общего регламента по защите данных региона.

Турция, Украина и Россия также демонстрируют схожие модели блокировки, с высоким уровнем блокировки приложений виртуальных частных сетей в Турции и России, что согласуется с недавним усилением законов о слежке.

Из 61 удаления Google в конкретной стране 36 были уникальны для Южной Кореи, в том числе 17 азартных игр и игровых приложений, удаленных в соответствии с национальным запретом на азартные игры в Интернете.

В то время как удаление китайских приложений индийским правительством произошло при полном публичном раскрытии, на удивление, большинство наблюдаемых нами удалений произошло без особого общественного внимания или обсуждения.

Различия в безопасности и конфиденциальности

Приложения, загруженные из Google Play, также показали различия в возможностях безопасности и конфиденциальности в зависимости от страны.

Сто двадцать семь приложений различались по тому, к чему приложениям был разрешен доступ на мобильных телефонах пользователей, 49 из которых имели дополнительные разрешения, которые Google считал «опасными».

Приложения в Бахрейне, Тунисе и Канаде запрашивали самые дополнительные опасные разрешения.

Три VPN-приложения позволяют в некоторых странах общаться открытым текстом, что позволяет несанкционированный доступ к сообщениям пользователей.

Сто восемнадцать приложений различались по количеству рекламных трекеров, включенных в приложение в некоторых странах.

Категории включают игры, развлечения и социальные сети, при этом в Иране и Украине наблюдается наибольший рост количества рекламных трекеров по сравнению с базовым показателем, общим для всех стран.

Политики конфиденциальности 103 приложений различаются в зависимости от страны.

Пользователи в странах, на которые не распространяются правила защиты данных, такие как GDPR в ЕС и Калифорнийский закон о конфиденциальности потребителей в США, подвергаются более высокому риску конфиденциальности.

Например, 71 приложение, доступное в Google Play, содержит положения о соответствии GDPR только в ЕС и CCPA только в США.

Двадцать восемь приложений, использующих опасные разрешения, не упоминают об этом, несмотря на то, что политика Google требует от них этого.

Роль магазинов приложений

Магазины приложений позволяют разработчикам нацеливать свои приложения на пользователей на основе множества факторов, включая их страну и особенности их устройств.

Хотя Google предпринял некоторые шаги по обеспечению прозрачности своего магазина приложений, наше исследование показывает, что в аудите Google экосистемы приложений есть недостатки.

Некоторые из них могут поставить под угрозу безопасность и конфиденциальность пользователей.

Потенциально также в результате политики магазинов приложений в некоторых странах магазины приложений, специализирующиеся на определенных регионах мира, становятся все более популярными.

Однако эти магазины приложений могут не иметь адекватной политики проверки, что позволяет измененным версиям приложений достигать пользователей.

Например, национальное правительство может оказать давление на разработчика, чтобы он предоставил версию приложения, включающую бэкдор-доступ.

У пользователей нет простого способа отличить измененное приложение от неизмененного.

Наше исследование дает владельцам магазинов приложений несколько рекомендаций по решению обнаруженных нами проблем:

• Лучше модерировать функции таргетинга на страну
• Предоставление подробных отчетов об удалении приложений.
• Проверить приложения на наличие различий в зависимости от страны или региона
• Требуйте прозрачности от разработчиков в отношении их потребности в различиях
• Сами политики конфиденциальности хост-приложений, чтобы обеспечить их доступность, когда политики заблокированы в определенных странах.

Есть какие-нибудь мысли по этому поводу? Перенесите обсуждение в наш Twitter или Facebook.

Рекомендации редакции:

• Исследователи раскрывают, как они обнаруживают дипфейк-аудио — вот как
• До домашних роботов-слуг еще далеко — вот почему
• Иск FTC подвергает серьезному риску конфиденциальность, и это вина вашего телефона
• Твиттер ставит под угрозу безопасность своих пользователей?

Примечание редактора: эта статья была написана Ренукой Кумаром, доктором философии. студент факультета компьютерных наук и инженерии Мичиганского университета, переиздано из The Conversation под лицензией Creative Commons. Прочитайте оригинальную статью.