Крупнейшая российская интернет-компания встроила код в приложения, установленные на мобильных устройствах, который позволяет отправлять информацию о миллионах пользователей на серверы, расположенные в России.
Разоблачение относится к программному обеспечению, созданному компанией «Яндекс», которое позволяет разработчикам создавать приложения для устройств под управлением iOS и Android – систем, на которых работает подавляющее большинство смартфонов в мире.
«Яндекс» собирает данные пользователей с мобильных телефонов, а затем отправляет информацию на серверы в России. Исследователи высказывают опасения, что подобные метаданные могут быть доступны Кремлю и использоваться для слежки за людьми через их смартфоны.
Исследователь Зак Эдвардс впервые сделал открытие о коде Яндекса в рамках кампании по аудиту приложений для некоммерческой организации Me2B Alliance.
Яндекс признал, что его программное обеспечение собирает информацию об «устройстве, сети и IP-адресе», которая хранится «как в Финляндии, так и в России», но назвал эти данные «неперсонализированными и очень ограниченными». В компании добавили: «Хотя теоретически это возможно, на практике крайне сложно идентифицировать пользователей только на основе такой собранной информации. Яндекс определённо не может этого сделать».
Шер Скарлетт, бывший главный инженер-программист по глобальной безопасности в Apple, сказал, что после того, как информация о пользователях будет собрана на российских серверах, Яндекс может быть обязан предоставить её правительству в соответствии с местными законами. Другие эксперты заявили, что метаданные такого рода, которые собирает «Яндекс», могут быть использованы для идентификации пользователей.
Рон Уайден, председатель финансового комитета Сената США и один из архитекторов американского регулирования Интернета, подверг Google и Apple жёсткой критике за то, что они не сделали достаточно для защиты смартфонов от программного обеспечения российской компании, которое попало в 52 000 приложений для сотен миллионов потребителей.
«Эти приложения вытягивают частные, конфиденциальные данные из приложений на вашем телефоне, угрожая национальной безопасности США и частной жизни американцев и других людей по всему миру», – сказал он.
Компания «Яндекс» считается мировым технологическим гигантом, её акции котируются на Нью-Йоркской фондовой бирже, а основная доля принадлежит американским фондам. Компания зарегистрирована в Амстердаме, а её основатель Аркадий Волож живёт в Израиле.
«Спецоперация» на Украине разбила её международные амбиции, ударила по цене акций, а некоторые западные партнёры разорвали с компанией все связи. Исполнительный директор компании Тигран Худавердян уволился на прошлой неделе после того, как против него были введены санкции ЕС, призванные ударить по активам бизнесменов, считающихся близкими к Кремлю.
У «Яндекса» есть программное обеспечение в виде набора средств разработки программного обеспечения, или SDK, под названием AppMetrica. SDK – это некие блоки, используемые разработчиками для создания приложений. SDK Google Maps, например, позволяет встраивать картографические функции внутрь приложений, а не создавать их с нуля. Многие SDK предлагаются «бесплатно» в обмен на доступ к пользовательским данным, которые помогают в таргетированной рекламе.
Среди приложений с установленной AppMetrica есть игры, приложения для обмена сообщениями, инструменты для обмена местоположением и различных VPN-сервисов. Семь из этих VPN созданы специально для украинской аудитории. Общее количество установленных приложений, использующих SDK, исчисляется сотнями миллионов, согласно данным Appfigures, группы по анализу приложений.
Сенатор Уайден добавил:
«Apple и Google утверждают, что их монопольный контроль над магазинами приложений необходим для обеспечения безопасности потребителей. Каждый день, когда приложения, созданные на основе российского SDK, остаются в этих магазинах, является ещё одним доказательством того, что безопасность потребителей, о которой они заявляют, является иллюзией».
Яндекс выступил в защиту использования своего SDK, заявив, что он «работает так же, как и международные аналоги», включая Google Firebase, который используется в более чем 2 млн. приложений для Android. Компания заявила, что собирает данные только «после того, как приложение получает согласие от пользователей».
Apple заявила, что AppMetrica не может без разбора получать доступ к данным пользователей, поскольку работа SDK требует отдельного согласия.
Компания Google признала, что ей предстоит еще много работы по обеспечению прозрачности информации для пользователей о том, какие SDK используются для создания приложений, и заявила, что проведет расследование на основе представленных выводов.
Мы должны придерживаться этого условия.
Ещё по теме:
- PornHub: вид изнутри
- Минцифры рекомендует операторам отказаться от безлимитных тарифов
- Разработчики Diablo Immortal открыли предварительную регистрацию на iOS