Спецпроекты

ПО Софт Безопасность Пользователю ИТ в госсекторе

Государственные мобильные приложения кишат иностранными трекерами. Они воруют данные россиян

Эксперты АНО «Инфокультура» выявили в мобильных приложениях российских госсервисов встроенные иностранные и российские трекеры. Они скрыто собирают информацию о пользователях и отправляют ее в Google, Facebook, Microsoft и даже японским компаниям. Трекеры «Яндекса» в таких программах тоже есть.

Небезопасные госприложения

В мобильных приложениях для смартфонов, созданных для госсервисов, обнаружены многочисленные скрытые встроенные алгоритмы отслеживания, разработанные иностранными компаниями. Об этом в своем исследовании сообщили специалисты АНО «Инфокультура», протестировавшие более 40 мобильных госутилит.

В списке приложений, попавших во внимание к ИБ-специалистам, оказались Moscow Transport и «Парковки Москвы» от столичного Департамента транспорта, а также «Добродел» (Правительство Московской Области), «Активный гражданин» (Информационный город ГКУ), «Услуги РТ» (Татарстан), «Мой налог» (ФНС России), «Социальный мониторинг» (Информационный город ГКУ) и многие другие. Трекеры иностранного происхождения, несущие угрозу персональным россиян, были обнаружены не в каждом из них, но некоторые отличись тем, что имеют в своем составе сразу 10 различных «следилок».

Из 44 приложений, проверенных экспертами АНО «Инфокультура», лишь пять на момент проведения исследования не имели ни одного встроенного трекера. Это программы ЕГР ЗАГС (разработчик – ФНС, 10 тыс. загрузок из Google Play) , «Госуслуги.Дороги» (Минцифры, 100 тыс. скачиваний), «Липецкая область» (Липецкое ОБУ «ИТЦ», 50 тыс. загрузок), HISTARS (10 тыс. скачиваний) и «Работа в России» (более 1 млн загрузок, разработчик – Федеральная служба по труду и занятости).

Самые «дырявые» приложения

Согласно исследованию, приложения одного и того же разработчика могут как не иметь интегрированных средств отслеживания полностью, так и содержать сразу несколько таких трекеров. Например, это упомянутая Федеральная налоговая служба, в приложении которой под названием «Проверка чеков ФНС России» найдено сразу четыре потенциальных зловреда. Оно было скачано из Google Play более 100 тыс. раз.

Приложения с наибольшим числом трекеров

Но настоящим рекордсменом по числу встроенных трекеров оказалось приложение Moscow transport, разработанное по заказу Дептранса Москвы. В нем их сразу 10, девять из которых иностранные, а количество его установок составляет в пределах 500 тыс. В «Парковках Москвы», еще одной утилите столичного Дептранса, трекеров «всего» четыре при количестве скачиваний в пределах 1 млн.

Наиболее популярные трекеры для установки

На втором месте в рейтинге АНО «Инфокультура» находится приложение «Мои Документы Онлайн» с 1 млн загрузок из магазина Google и девятью трекерами. Третью строчку занял «Добродел», разработанный по заказу правительства Москвы – шесть трекеров и около 100 тыс. загрузок.

Без российских трекеров тоже не обошлось

В мобильных госприложениях чаще всего встречаются трекеры интернет-гиганта Google, и аналитики «Инфокультуры» связывают это с инструментами разработки ПО для Android, которые она предлагает сторонним программистам.

Трекеры приложений, и каким юрисдикциям они принадлежат

Название приложения Создатель приложения Количество иностранных трекеров Название трекеров Юрисдикции
Московский транспорт Департамент транспорта Москвы 9 Google CrashLytics, Google Analytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Share, Google Tag Manager, Amplitude, Mapbox США
Мои Документы Онлайн— все МФЦ, оплата и госпошлина Electronic Store 8 Google CrashLytics, Google Analytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Places, Facebook Share, Google Tag Manager США
Добродел Правительство Московской Области 5 Google CrashLytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Share США
Услуги РТ ООО «Управление Информационными Проектами» 4 Google Analytics, Google Firebase Analytics, Google Tag Manager, Google Analytics Plugin (Cordova) США, Япония
Активный гражданин Информационный город ГКУ 4 Google CrashLytics, Google Analytics, Google Firebase Analytics, Google Tag Manager США
Госуслуги Санкт-Петербурга СПБ ГУП "СПБ ИАЦ" 3 Flurry, Google CrashLytics, Google Firebase Analytics США
Госуслуги Москвы Информационный город ГКУ 3 Google CrashLytics, Google Firebase Analytics, Facebook Login США
Наш город Информационный город ГКУ 3 Flurry, Google CrashLytics, Google Firebase Analytics США
Проверка чеков ФНС России ФНС России 3 Google Firebase Analytics, Microsoft Visual Studio App Center Crashes, Microsoft Visual Studio App Center Analytics США
МВД РОССИИ Министерство внутренних дел Российской Федерации 3 Google CrashLytics, Google Analytics, Google Tag Manager США

Источник: АНО «Инфокультура»

Перейти к полной таблице

В числе таких трекеров есть Firebase Analytics (присутствует в 35 программах) и CrashLytics (есть в 21 программе) – они передают данные о работе приложений разработчикам для дальнейшей отладки ПО.

Каким компаниям и юрисдикциям принадлежат трекеры

Но следят за российскими пользователями не только иностранные, но и отечественные копании. Например, трекер AppMetrica за авторством «Яндекса» исследователи обнаружили в 16 приложениях их 44, а это около 36%. Притом больше всего трекеров (50%), российских и иностранных, как сказано в исследовании, направлены на «сбор данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам».

Выводы аналитиков

Авторы исследования выяснили, что в 88% из 44 протестированных ими госприложений есть хотя бы один трекер, передающий персональные данные сторонним компаниям. В 43% утилит было найдено как минимум три трекера.

Количество трекеров по типу

Чаще всего (в 86%) трекеры отправляют данные в США – это в первую очередь алгоритмы Google, Facebook и Microsoft. Но приложение «Услуги РТ», предназначенное для жителей Татарстана, отсылает данные еще и в Японию.

Также эксперты отметили, что всем приложениям из выборки требуется как минимум пять разрешений на доступ к данным и функциям смартфона, притом каждая пятая программа использует хотя бы одно потенциально опасное разрешение. В их число попадают разрешения на доступ к хранилищу, геолокации, камере и т. д.

Комментарий разработчиков

Редакция CNews обратилась с запросом о причинах добавления в госприложения столь сомнительных функций к ряду заказчиков госприложений, в которых «Инфокультура» обнаружила трекеры. Письма были направлены в столичный Дептранс, Департамент информационных технологий Москвы (ДИТ), ФНС, а также разработчикам «Мои Документы Онлайн», «Услуги РТ», и «Госуслуг Санкт-Петербурга». Также редакция CNews поинтересовалась у них, какие именно персональные данные собирают и передают эти утилиты.

На момент публикации материала только ДИТ смог ответить на запрос. Его представители сообщили, что: «Указанные сервисы (Crashlytics, Analytics и пр.) не собирают и не используют персональные данные пользователей мобильных приложений. Они являются составными частями платформы Google Firebase, которая предоставляет инфраструктурные сервисы для разработки и реализации части функций мобильных приложений».

«Использование данных сервисов является фактически отраслевым стандартом, без которого полноценная работа и эффективный мониторинг работы приложений будут затруднены или ограничены. Эти сервисы либо являются аналитическими, либо используются для отслеживания ошибок и производительности. Их использование необходимо исключительно для оптимизации работы приложений, повышения удобства интерфейсов и улучшения стабильности. Персональные данные пользователей мобильных приложений, разработанных ГКУ «Информационный город», хранятся на серверах Департамента информационных технологий, расположенных на территории России и защищенных в соответствии с требованиями российского законодательства. Сторонним компаниям эти данные не передаются», – рассказали CNews представители ДИТ.

Эльяс Касми

Короткая ссылка