Поделиться
Государственные мобильные приложения кишат иностранными трекерами. Они воруют данные россиян
Эксперты АНО «Инфокультура» выявили в мобильных приложениях российских госсервисов встроенные иностранные и российские трекеры. Они скрыто собирают информацию о пользователях и отправляют ее в Google, Facebook, Microsoft и даже японским компаниям. Трекеры «Яндекса» в таких программах тоже есть.
Небезопасные госприложения
В мобильных приложениях для смартфонов, созданных для госсервисов, обнаружены многочисленные скрытые встроенные алгоритмы отслеживания, разработанные иностранными компаниями. Об этом в своем исследовании сообщили специалисты АНО «Инфокультура», протестировавшие более 40 мобильных госутилит.
В списке приложений, попавших во внимание к ИБ-специалистам, оказались Moscow Transport и «Парковки Москвы» от столичного Департамента транспорта, а также «Добродел» (Правительство Московской Области), «Активный гражданин» (Информационный город ГКУ), «Услуги РТ» (Татарстан), «Мой налог» (ФНС России), «Социальный мониторинг» (Информационный город ГКУ) и многие другие. Трекеры иностранного происхождения, несущие угрозу персональным россиян, были обнаружены не в каждом из них, но некоторые отличись тем, что имеют в своем составе сразу 10 различных «следилок».
Из 44 приложений, проверенных экспертами АНО «Инфокультура», лишь пять на момент проведения исследования не имели ни одного встроенного трекера. Это программы ЕГР ЗАГС (разработчик – ФНС, 10 тыс. загрузок из Google Play) , «Госуслуги.Дороги» (Минцифры, 100 тыс. скачиваний), «Липецкая область» (Липецкое ОБУ «ИТЦ», 50 тыс. загрузок), HISTARS (10 тыс. скачиваний) и «Работа в России» (более 1 млн загрузок, разработчик – Федеральная служба по труду и занятости).
Самые «дырявые» приложения
Согласно исследованию, приложения одного и того же разработчика могут как не иметь интегрированных средств отслеживания полностью, так и содержать сразу несколько таких трекеров. Например, это упомянутая Федеральная налоговая служба, в приложении которой под названием «Проверка чеков ФНС России» найдено сразу четыре потенциальных зловреда. Оно было скачано из Google Play более 100 тыс. раз.
Но настоящим рекордсменом по числу встроенных трекеров оказалось приложение Moscow transport, разработанное по заказу Дептранса Москвы. В нем их сразу 10, девять из которых иностранные, а количество его установок составляет в пределах 500 тыс. В «Парковках Москвы», еще одной утилите столичного Дептранса, трекеров «всего» четыре при количестве скачиваний в пределах 1 млн.
На втором месте в рейтинге АНО «Инфокультура» находится приложение «Мои Документы Онлайн» с 1 млн загрузок из магазина Google и девятью трекерами. Третью строчку занял «Добродел», разработанный по заказу правительства Москвы – шесть трекеров и около 100 тыс. загрузок.
Без российских трекеров тоже не обошлось
В мобильных госприложениях чаще всего встречаются трекеры интернет-гиганта Google, и аналитики «Инфокультуры» связывают это с инструментами разработки ПО для Android, которые она предлагает сторонним программистам.
| Название приложения | Создатель приложения | Количество иностранных трекеров | Название трекеров | Юрисдикции |
|---|---|---|---|---|
| Московский транспорт | Департамент транспорта Москвы | 9 | Google CrashLytics, Google Analytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Share, Google Tag Manager, Amplitude, Mapbox | США |
| Мои Документы Онлайн— все МФЦ, оплата и госпошлина | Electronic Store | 8 | Google CrashLytics, Google Analytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Places, Facebook Share, Google Tag Manager | США |
| Добродел | Правительство Московской Области | 5 | Google CrashLytics, Google Firebase Analytics, Facebook Analytics, Facebook Login, Facebook Share | США |
| Услуги РТ | ООО «Управление Информационными Проектами» | 4 | Google Analytics, Google Firebase Analytics, Google Tag Manager, Google Analytics Plugin (Cordova) | США, Япония |
| Активный гражданин | Информационный город ГКУ | 4 | Google CrashLytics, Google Analytics, Google Firebase Analytics, Google Tag Manager | США |
| Госуслуги Санкт-Петербурга | СПБ ГУП "СПБ ИАЦ" | 3 | Flurry, Google CrashLytics, Google Firebase Analytics | США |
| Госуслуги Москвы | Информационный город ГКУ | 3 | Google CrashLytics, Google Firebase Analytics, Facebook Login | США |
| Наш город | Информационный город ГКУ | 3 | Flurry, Google CrashLytics, Google Firebase Analytics | США |
| Проверка чеков ФНС России | ФНС России | 3 | Google Firebase Analytics, Microsoft Visual Studio App Center Crashes, Microsoft Visual Studio App Center Analytics | США |
| МВД РОССИИ | Министерство внутренних дел Российской Федерации | 3 | Google CrashLytics, Google Analytics, Google Tag Manager | США |
В числе таких трекеров есть Firebase Analytics (присутствует в 35 программах) и CrashLytics (есть в 21 программе) – они передают данные о работе приложений разработчикам для дальнейшей отладки ПО.
Но следят за российскими пользователями не только иностранные, но и отечественные копании. Например, трекер AppMetrica за авторством «Яндекса» исследователи обнаружили в 16 приложениях их 44, а это около 36%. Притом больше всего трекеров (50%), российских и иностранных, как сказано в исследовании, направлены на «сбор данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам».
Выводы аналитиков
Авторы исследования выяснили, что в 88% из 44 протестированных ими госприложений есть хотя бы один трекер, передающий персональные данные сторонним компаниям. В 43% утилит было найдено как минимум три трекера.
Чаще всего (в 86%) трекеры отправляют данные в США – это в первую очередь алгоритмы Google, Facebook и Microsoft. Но приложение «Услуги РТ», предназначенное для жителей Татарстана, отсылает данные еще и в Японию.
Также эксперты отметили, что всем приложениям из выборки требуется как минимум пять разрешений на доступ к данным и функциям смартфона, притом каждая пятая программа использует хотя бы одно потенциально опасное разрешение. В их число попадают разрешения на доступ к хранилищу, геолокации, камере и т. д.
Комментарий разработчиков
Редакция CNews обратилась с запросом о причинах добавления в госприложения столь сомнительных функций к ряду заказчиков госприложений, в которых «Инфокультура» обнаружила трекеры. Письма были направлены в столичный Дептранс, Департамент информационных технологий Москвы (ДИТ), ФНС, а также разработчикам «Мои Документы Онлайн», «Услуги РТ», и «Госуслуг Санкт-Петербурга». Также редакция CNews поинтересовалась у них, какие именно персональные данные собирают и передают эти утилиты.
На момент публикации материала только ДИТ смог ответить на запрос. Его представители сообщили, что: «Указанные сервисы (Crashlytics, Analytics и пр.) не собирают и не используют персональные данные пользователей мобильных приложений. Они являются составными частями платформы Google Firebase, которая предоставляет инфраструктурные сервисы для разработки и реализации части функций мобильных приложений».
«Использование данных сервисов является фактически отраслевым стандартом, без которого полноценная работа и эффективный мониторинг работы приложений будут затруднены или ограничены. Эти сервисы либо являются аналитическими, либо используются для отслеживания ошибок и производительности. Их использование необходимо исключительно для оптимизации работы приложений, повышения удобства интерфейсов и улучшения стабильности. Персональные данные пользователей мобильных приложений, разработанных ГКУ «Информационный город», хранятся на серверах Департамента информационных технологий, расположенных на территории России и защищенных в соответствии с требованиями российского законодательства. Сторонним компаниям эти данные не передаются», – рассказали CNews представители ДИТ.
Поделиться
Короткая ссылка
