На прошедшей неделе в мире iOS-приложений разразился очередной скандал, связанный с утечками пользовательских данных. В эпицентре стоял сервис Path, чье приложение старательно и без разрешения выгружало адресную книгу iPhone, чтобы «найти друзей», с которыми вы, возможно, захотели бы связаться. Представители Path уже принесли свои извинения и обновили приложение, но глобальная проблема от этого никуда не делась: сторонние программы действительно имеют доступ к большому объему ваших данных и могут отправлять их куда угодно, не спрашивая разрешения. Что произойдет дальше, зависит от разработчика: он может использовать данные для благих целей, а может и нет — никаких гарантий никто никому не дает.
Факт нарушения Path политики конфиденциальности обнаружил Арун Тампи и, используя его метод, мы решили исследовать несколько популярных приложений под iOS, чтобы определить, какие из них отправляют данные, и ставят ли они об этом в известность пользователя.
Методология
Чтобы определить, загружает ли приложение ваши данные на удаленный сервер, нужно проследить за исходящим трафиком. К счастью, Тампи предложил для этого относительно простой способ: нужно установить на компьютер специальную программу, например, mitmproxy, которая следит за входящими и исходящими данными, и подключить iPhone к Сети так, чтобы все данные отправлялись через нее, а не напрямую по Wi-Fi или 3G.
Хорошая новость: практически все приложения отправляют данные в зашифрованном виде, используя защищенное соединение HTTPS. Кроме того, в большинстве случаев данные отправляются по методу post и только в некоторых — по get, который эквивалентен набору URL-адреса в браузере. По крайней мере, только в одном случае мы столкнулись с приложением, отправляющим незащищенные данные по get (мы говорим о приложении Hipster, которое, впрочем, было оперативно обновлено).
Используемый нами способ слежения за данными довольно трудоемкий, поскольку требует изучения каждого «куска» исходящей информации. Кроме того, иногда мы не можем отследить все, что отправляется: например, приложение Dragon Dictation предупреждает, что оно загружает имена контактов для лучшего транскрибирования, но мы не увидели, чтобы эти данные проходили через порт.
Вопиющие нарушители
Худшим развитием сценария является ситуация, когда приложение загружает данные вашей адресной книги, не оповещая о своих действиях. До своего обновления Path определенно попадал в эту категорию «вопиющих нарушителей». Аналогичная проблема наблюдалась с Hipster. Но Hipster заслуживает дополнительной дозы презрения, потому что он направлял свою информацию через небезопасный HTTP по методу get — по сути, выложив большую часть вашей адресной книги в URL-адресе. А эти адреса, как мы помним из истории с Carrier IQ, могут отслеживаться вашим оператором.
Частично виновные
В этот список попали те приложения, которые отдают адресную книгу только тогда, когда вы просите об этом. Эти приложения могут быть разделены на две группы: которые «четко предупреждают» о том, что собираются загрузить информацию, и те, в которых вы просто нажимаете на элемент, гласящий нечто вроде «Поиск друзей». В обоих случаях пользователь сам инициирует процесс загрузки, однако, остается в неведении относительно того, загружается ли его адресная книга целиком и что с ней происходит дальше.
Twitter, Facebook, LinkedIn и другие «социальные» приложения — примеры аппов, работающих по этому алгоритму. В каждом конкретном случае пользователю необходимо нажать кнопку, чтобы подтвердить свое действие. Неадекватнее всего ведет себя приложение Foodspotting. Хотя оно и не отправляет информацию из адресной книги до тех пор, пока вы не нажмете на кнопку Follow People, передача списка почтовых адресов ваших друзей никак не шифруется. Разработчики пообещали исправить это недоразумение в следующей версии программы.
Еще одна категория приложений, отдающих ваши данные после нажатия на кнопку сомнительного предназначения, — игры. В частности, те, которые подключаются к Crystal — игровому серверу Chillingo: это и Angry Birds, и Cut The Rope. Несмотря на то, что эти приложения отправляют данные с разрешения пользователя, не совсем понятно, что происходит с ними впоследствии. Сохраняются они или нет, передаются третьим лицам или нет, используются для анализа или нет. К тому же крайне маловероятно, что разработчики делают хоть что-нибудь для «анонимизации» поступающей информации. Подавляющее большинство приложений, которые мы проверили — не важно, загружают ли они вашу адресную книгу или нет — отправляют идентифицирующую информацию вашего iPhone, в том числе UDID, а во многих случаях даже имя смартфона, которое вы вводите в iTunes при его установке. Короче говоря, разработчики этих приложений получают довольно хорошее представление о том, как вас зовут и с кем вы знакомы.
Амнистированные
В следующую группу входят приложения, которые явно предупреждают вас о намерении загрузить адресную книгу. Правда, многие из них начали выводить это предупреждение только после скандала с Path. К этой группе уже относится упомянутый Hipster, а также Instagram и Instapaper. Хотя всплывающие уведомления могут раздражать пользователей (и утомит их до такой степени, что они будут нажимать OK абсолютно на все), такое поведение должно быть нормой.
Невиновные
Существует одна компания, которая сделала для защиты пользователей от несанкционированной загрузки адресных книг больше, чем кто-либо другой, и ее имя может вас удивить — это Facebook. Компания, которую любят высмеивать (и во многих случаях вполне справедливо) за нечестность и безответственность по отношению к пользователям, неожиданно стала рыцарем на белом коне.
Причина довольно проста: множество приложений сейчас используют Facebook для поиска друзей пользователя. Вместо того чтобы самим загружать и сопоставлять информацию из адресной книги, разработчики предпочитают использовать возможности Open Graph. В этом смысле поощрительной премии достоин и Twitter, поскольку его также используют для аутентификации и поиска друзей.
Существует удивительно большая коллекция приложений, которые, по всей видимости, тоже не загружают информацию из адресной книги, хотя мы от них этого ожидали. Pinterest, Skype, Flipboard, Shazam, Pandora, RDIO, Meebo, Netflix, Google+, Skype, TripIt и Color — все они являются примерами программ, которые кажутся нам «чистыми» (или мы просто не смогли отследить их активность).
Политика запретов провалилась, настала пора технических решений
Важно отметить одну немаловажную вещь. Решение проблемы защиты данных не может и не должно целиком лежать на Apple. Компания и так сделала все возможное — в соглашении, которое заключает разработчик при загрузке приложения в AppStore, содержатся два пункта:
17.1. Приложения не могут передавать данные о пользователе, не получив предварительного разрешения пользователя и не предоставив пользователю доступа к информации о том, как и где эти данные будут использованы.
17.2. Приложения, которые требуют от пользователей делиться личной информацией, такой как адрес электронной почты и дата рождения, для последующего использования будут отклонены.
Тем не менее, даже у Apple не хватает рук, чтобы отследить все — это было наглядно продемонстрировано Path, Hipster, Foursquare и другими. Положения, изложенные в соглашении, не являются полномасштабным решением проблемы. Существует, однако, техническое решение, которое разработчики приложений могут использовать прямо сейчас. Оно состоит в том, чтобы делать информацию из адресной книги анонимной до того, как ее загрузят, используя специальные алгоритмы. Это умный и приемлемый вариант, хотя и требующий участия разработчиков.
Другим вариантом решения проблемы является принятие почти полной монополии Facebook на «рынке социальных связей». Хотя на данный момент этот вариант является прагматичным, в будущем было бы логичнее найти иной способ формирования связей, не требующий передачи наших данных Марку Цукербергу.
Apple среагировала на ситуацию с «утекающими» данными довольно оперативно. В будущем апдейте iOS будет реализована система уведомлений о том, что приложение собирается передать кому-то вашу адресную книгу. Но это решение остается половинчатым, поскольку мы так и не узнаем, как и с какой целью разработчики приложений будут использовать данные.
По материалам: The Verge
Перевод Натальи Бирюковой
