Exodus privacy как пользоваться

Обновлено: 13.05.2024

Введение в Assembler

Интересное исследование представили специалисты Yale Privacy Lab (специальной лаборатории Йельского университета) и французской некоммерческой организации Exodus Privacy. Эксперты изучили более 300 популярных приложений для Android и пришли к выводу, что 75% из них содержат различные трекеры, то есть «маячки» позволяющие следить за пользователями, зачастую даже без ведома последних.

Данное исследование интересно резонирует с опубликованным на прошлой неделе докладом специалистов Принстонского университета. Напомню, что аналитики пришли к выводу, что сотни сайтов, входящих в число 50 000 самых посещаемых ресурсов по версии Alexa, следят за каждым шагом своих посетителей, а зачастую и вовсе работают как кейлоггеры.

Как оказалось, на мобильных платформах дела обстоят ничуть не лучше. Трекинговые скрипты были найдены, как в составе популярных приложений с большой пользовательской базой (Uber, Twitter, Tinder, Soundcloud, Spotify, Snapchat, Skype), так и в менее популярных программах.

Полный список исследованных приложений уже опубликован на сайте Exodus Privacy и в репозитории Yale Privacy Lab на GitHub. Там же можно найти список всех обнаруженных трекеров. Исследователи подробно рассказывают о каждом решении для слежки, объясняя, какие данные оно собирает, какова его политика конфиденциальности, кто является владельцем и так далее.

Суммарно исследователи сумели идентифицировать 44 различных трекера. Самыми распространенными оказались решения Google CrashLytics и DoubleClick. Более 75% изученных экспертами приложений содержат хотя бы один такой «маячок». И если некоторые решения собирают исключительно статистику об ошибках и отказах в работе приложений (к примеру, этим занимается Google CrashLytics), то другие агрегируют информацию об использовании приложений и пользовательские данные (зачастую конфиденциальные): имена, номера телефонов, IP-адреса, email-адреса, логины, ID устройства и многое другое.

Интересно, что трекер FidZup и вовсе использует в работе ультразвук, при помощи которого французский путеводитель по ресторанам и отелям Bottin Gourmand отслеживает физическое местоположение пользователей «через колонки в розничных магазинах». Затем собранная информация передается владельцам таких приложений, как Auto Journal и the TeleStar TV. О подобных методах слежки ИБ-эксперты уже рассказывали ранее. Реклама с ультразвуковыми маркерами – это далеко не новое веяние.

Специалисты отмечают, что большинство трекеров также представлены в версиях для iOS, то есть данная проблема распространяется отнюдь не только на пользователей Android. Эксперты пообещали продолжить работу в данном направлении и предложили всем желающим присоединяться к исследованию. Для этого специалисты Exodus Privacy уже разместили свое аналитическое ПО на GitHub.

εxodus — платформа для аудита приватности Android-приложений

εxodus исследует Android-приложения на наличие встроенных трекеров. Трекер — это часть программы, которая собирает данные о вас и о том, как вы используете приложение. Таким образом, отчёты εxodus’а раскрывают ингредиенты, из которых разработчик приготовил свой “пирог”. εxodus не декомпилирует приложения, а используемая им техника анализа абсолютно легальна.

    по отчётам Android-приложений Android-приложение, указав его идентификатор

Так выглядит отчёт

Так выглядит отчёт

Отчёт укажет вам, какие трекеры внедрены в приложение. Кликнув по имени трекера, можно узнать о нём подробнее а также в каких ещё приложениях он используется. Если описание трекера отсутствует или неверно, отправьте нам исправление или создайте issue на Github.

А так выглядит список найденных трекеров

А так выглядит список найденных трекеров

В отчёте также есть список с разрешениями, которые программа запрашивает для своей работы. Некоторые из подобных разрешений отмечены как опасные(“Dangerous”). Это значит, что с точки зрения Google, программа, получив такие разрешения, может делать нехорошие вещи. εxodus использует классификацию разрешений от Google.

Список найденных разрешений исследуемого приложения

Список найденных разрешений исследуемого приложения

Если в вас проснулось любопытство или желание помочь улучшить εxodus, вы можете создать issues или внести улучшения в наш проект .

3 способа узнать, какие данные собирает приложение

Для корректной работы мобильным приложениям нужна информация об устройстве. Например, карте с навигацией нужно знать ваше местонахождение для построения маршрута. Некоторые разработчики собирают анонимную статистику, которую используют, чтобы улучшить продукт или настроить рекламу.

Некоторые владельцы злоупотребляют доверием пользователей и собирают слишком много данных. В итоге эта информация может быть продана, и не в самые надёжные руки.


Приложение εxodus для Android

Приложение εxodus для Android

Предназначение приложения - показывать список приложений, установленных вами из Google Play а также какие трекеры встроены в каждое из них. Приложение εxodus не производит никакого анализа на смартфоне, а только лишь показывает отчёты, доступные через платформу εxodus и само не содержит трекеров.

Приложение εxodus для Android

Сервис AppCensus

Сервис AppCensus дает возможность узнать, какие личные данные и куда отправляет приложение. Для этого применяется метод динамического анализа: программу устанавливают на реальное мобильное устройство, предоставляют ей все запрашиваемые разрешения и активно используют ее в течение определенного промежутка времени. При этом специалисты сервиса отслеживают, какие данные, кому именно и в каком виде — зашифрованном или незашифрованном — она отправляет.

Такой подход позволяет получить результат, отражающий реальное поведение приложения. Если вас что-то смущает в той информации, которую может выдать AppCensus, вы сможете отказаться от программы и поискать более скромный аналог, не пытающийся разнюхать о вас слишком много. Однако информация на AppCensus может оказаться неполной: программу тестируют лишь ограниченное время, а часть функций приложения может активироваться далеко не сразу. К тому же AppCensus изучает только бесплатные и общедоступные Android-приложения.

Сервис Exodus Privacy

В отличие от AppCensus, Exodus Privacy изучает не поведение, а само приложение. В частности, сервис оценивает разрешения, которые запрашивает программа, и ищет встроенные трекеры — сторонние модули, предназначенные для сбора данных о вас и ваших действиях. Как правило, разработчики добавляют в свои приложения трекеры рекламных сетей, с помощью которых те пытаются узнать вас как можно лучше и показывать персонализированные объявления. Сейчас сервису известно более 200 видов таких трекеров.

Что касается разрешений, то Exodus Privacy оценивает их с точки зрения опасности для вас и ваших данных. Если приложение запрашивает доступы, которые могут угрожать приватности или нарушить защиту устройства, сервис это отметит. Если вам кажется, что потенциально опасные разрешения не нужны приложению для нормальной работы, лучше их ему не выдавать. В случае необходимости вы сможете расширить его права позже.

Секретики приложений

Пользоваться обоими сервисами очень просто. Достаточно ввести название программы в поле поиска — и вы получите исчерпывающую информацию о том, какими данными она интересуется и куда их отправляет. В отличие от AppCensus, Exodus позволяет не только выбирать приложения из списка, но и самостоятельно указывать, какие программы взять из Google Play для изучения на вкладке New analysis.

Мы взяли для примера селфи-камеру с 5 миллионами установок из Google Play. Exodus Privacy показывает, что она использует четыре рекламных трекера и требует доступ не только к камере, но и к местоположению устройства, которое для ее работы не то чтобы обязательно (в теории она может делать это из благих побуждений — чтобы прописывать геометки в EXIF-данные фотографий), и к информации о телефоне и звонках, которая ей уж точно ни к чему.

Восклицательными знаками отмечены потенциально опасные разрешения: логичный для приложения доступ к камере и памяти устройства и более сомнительный доступ к местоположению и информации о телефоне

Анализ того же приложения, предложенный AppCensus, только добавляет вопросов: по данным сервиса, селфи-камера не просто получает доступ к местонахождению вашего смартфона или планшета, но и отправляет эту информацию вместе с IMEI (уникальным идентификатором вашего устройства в сотовой сети), MAC-адресом (еще одним уникальным номером, по которому устройство можно опознать в Интернете и локальных сетях) и Android ID (номером, который присваивается вашей системе при первом запуске) на некий китайский IP-адрес в незашифрованном виде. То есть про благие побуждения можно забыть.

Анализ селфи-камеры на портале AppCensus: внизу видно, кому, что и в каком виде отправляет приложение

Получается, что к данным, по которым можно однозначно отслеживать перемещения вашего гаджета, получает доступ кто-то в Китае, а еще кто угодно может перехватить их при передаче. Кому эти данные продаются или передаются — тоже хороший вопрос. При этом в политике приватности разработчики заявляют, что не собирают личных данных о пользователе и не передают никому информацию о местоположении устройства.

Можно ли защититься от слежки?

Как видите, популярное приложение с ничем не примечательной политикой приватности может подвергать опасности чувствительные данные. Поэтому мы рекомендуем относиться к мобильным программам с осторожностью:

Как узнать, какие данные на самом деле собирают приложения

Практически все приложения собирают о вас какую-то информацию. Выяснить, что именно, помогут сервисы AppCensus и Exodus.

Большинство приложений собирают ту или иную информацию о пользователе. Иногда данные необходимы программам для работы — например, навигатору нужна информация о вашем местоположении, чтобы проложить удобный маршрут. Также нередко разработчики используют информацию о вас для монетизации или улучшения сервиса — предварительно заручившись вашим согласием. Например, собирают анонимную статистику, чтобы понять, в каком направлении развивать программу.

Однако некоторые разработчики могут злоупотреблять вашим доверием: собирать информацию, которая никак не связана с функциональностью их программы, и продавать ваши данные третьим лицам, причем нередко втайне от вас. По счастью, в Сети есть сервисы, с помощью которых вы можете вывести такое приложение на чистую воду.

Exodus Privacy

Эксадэс Приваси изучает не поведенческие факторы, а привилегии и встроенные трекеры для сбора данных и действий. Часто программный код содержат рекламные трекеры, которые анализируют данные для персонализации объявлений. На сегодня сервис содержит 227 трекеров.

Популяризация

Основная цель Exodus Privacy — предупредить пользователей о том, что мобильные приложения собирают пользовательские данные. Для этого мы ведём 3 аккаунта в социальных сетях:

Как пользоваться

Просмотреть разрешения приложения в Андроиде можно перейдя в «Настройки − Приложения − Загруженные приложения». Находите нужную программу и нажимаете на вкладку «Разрешения».

Для проверки в AppCensus нужно зайти на сайт и ввести название приложения в форму поиска. После этого сервис предоставит подробный отчёт.

У Exodus Privacy примерно тот же функционал: для проверки имя вводится в поле поиска на сайте. Но если AppCensus показывает отчёт только среди проверенных программ из доступного списка, то в Exodus Privacy доступен выбор из GooglePlay.

AppCensus

АппСенсис отслеживает поведение методом динамического анализа. После установки и предоставления разрешений отслеживаются действия программы и передаваемые данные: кому и какая информация передаётся, шифруется или нет. Сервис не всегда отображает реальное поведение, так как некоторые функции во время сессии проверки могут не активироваться.

Что может Exodus Privacy

Стандартный инструмент Android

Без установки дополнительных программ, доступными средствами системы, невозможно выяснить, что конкретно передаёт приложение. Но можно узнать какие имеются разрешения.

Как защититься от отслеживания

Защитить себя от слежки просто − нужно удалить приложения со множеством разрешений и поискать альтернативу поскромнее. Благо программ написано для Андроида много.

Можно попробовать исключить ненужные действия в настройках приложения. Перейдя во вкладку «Разрешения», убрать лишние действия, а после перезагрузки программы проверить её работоспособность. Этот способ работает только на устройствах с Андроид 8 и выше.

Читайте также: