Исследователи обнаружили, что большинство приложений для Android и iOS, созданных для государственных и частных школ США, отправляют данные учащихся различным третьим сторонам, что ставит под сомнение обязательства Apple и Google в отношении конфиденциальности, которые являются распорядителями магазинов приложений.

Me2B Alliance, некоммерческая группа по разработке политики в области технологий, изучила случайную выборку из 73 мобильных приложений, используемых в 38 различных школах в 14 штатах США и США. найдено 60 процентов передавали данные о студентах.

Рассматриваемые приложения отправляют данные с помощью комплектов для разработки программного обеспечения или SDK, которые состоят из модульных библиотек кода, которые можно использовать для реализации служебных функций, аналитики или рекламы без необходимости создавать эти возможности с нуля. Примеры включают: SDK Google AdMob, Firebase и Sign-in, SDK Square OK HTTP и Okio, SDK Bolts от Facebook и другие.

Исследовательский проект Me2B присвоил найденным SDK три профиля риска: Средняя, высокая, а также очень высоко. Пакеты SDK для служебных программ, которые выполняют полезные ожидаемые функции, считаются средним риском.

Аналитические SDK, которые собирают поведенческие данные об использовании приложения, считаются высоким риском из-за возможности снятия отпечатков пальцев, злоупотребления данными и передачи данных партнерам. Рекламные SDK считаются высокорисковыми, поскольку они могут собирать уникальные идентификаторы и могут иметь очень высокий рейтинг риска, если они связаны с рекламной платформой, такой как Google DoubleClick, или если они появляются в реестры государственных брокеров данных, как AdColony и InMobi.

Читайте также:
ИИ, сканирующий ваш рентгеновский снимок на предмет признаков COVID-19, может просто смотреть на ваш возраст

В исследовании не выясняется, соответствуют ли эти приложения Закону о защите конфиденциальности детей в Интернете от 1998 года (COPPA), который регулирует порядок обработки данных о детях младше 13 лет. Он также не рассматривает другие вопросы соблюдения конфиденциальности, которые так сильно волнуют маркетологов с тех пор, как недавнее урегулирование трех коллективных исков о мобильных приложениях, ориентированных на детей с помощью рекламы. Скорее, его внимание сосредоточено просто на отсутствии разглашения и том факте, что студенты заслуживают лучшей защиты конфиденциальности.

Данные, относящиеся к Me2B, включают: идентификаторы (IDFA, MAID и т. Д.), Календарь, контакты, фотографии / мультимедийные файлы, местоположение, сетевые данные (IP-адрес), разрешения, связанные с камерой, микрофоном, идентификатором устройства и вызовами.

Около 49 процентов рассмотренных приложений отправляли данные о студентах в Google и около 14 процентов связывались с Facebook, а информация о балансе направлялась в рекламные и аналитические фирмы, многие из которых исследователи Me2B охарактеризовали как высокий риск.

Побеждают частные школы и пользователи Apple

Среди приложений для государственных школ 67% отправляли данные третьим лицам; Приложения частных школ с меньшей вероятностью отправляют данные третьим лицам (57%).

«Этот вывод вызывает особую тревогу, поскольку государственные школы, скорее всего, использовали государственное финансирование для разработки или аутсорсинга приложений — это означает, что налогоплательщики, скорее всего, платили за финансирование приложений, которые отправляют данные учащихся на платформы онлайн-рекламы», — сказала Лиза ЛеВассер, исполнительный директор Me2B, Зак. Эдвардса, возглавляющего группу тестирования целостности данных Me2B, Карина Алексанян, генеральный директор консалтинговой компании Humanification, в онлайн-сообщение.

Читайте также:
Новый проект PAIR Google хочет переосмыслить, как люди используют AI

Между мобильными платформами наблюдалась значительная разница: 91% приложений Android студентов отправляли данные третьим сторонам с высоким уровнем риска, в то время как только 26% приложений iOS отправляли данные по конвейеру третьим лицам с очень высоким уровнем риска. вечеринок, в то время как только 2,6% iOS сделали это.

Исследователи Me2B считают, что недавнее внедрение Apple своей структуры прозрачности отслеживания приложений (ATT) еще больше увеличивает «разрыв в уважении» между приложениями iOS и Android. Фактически, в прошлом месяце Apple заявила разработчикам, что начать отклонять приложения которые содержат рекламные SDK, реализующие снятие отпечатков пальцев. Это может смягчить проблемы конфиденциальности на основе SDK, по крайней мере, в приложениях для iOS.

Тем не менее, исследователи выразили обеспокоенность тем, что 95 процентов сторонних каналов данных в приложениях для опрошенных студентов активны, даже когда пользователь не вошел в систему, и что эти приложения отправляют данные, как только приложение загружается.

Они также отметили, что ни Google Play Store, ни Apple App Store (несмотря на улучшение раскрытия информации о конфиденциальности, вызванное требованием о маркировке приложений в Купертино) не предоставляют подробных сведений о том, какие третьи стороны получают данные из приложений, «не оставляя пользователям практического способа понять, кому их данные идут, что вполне может быть самой важной информацией для людей, чтобы они могли принимать обоснованные решения об использовании приложения «.

Реестр спросил Зака ​​Эдвардса, может ли быть достаточно упоминания поставщиков SDK на страницах со списком приложений в магазине приложений для решения проблем, связанных с конфиденциальностью, или каждый SDK в конечном итоге должен будет иметь собственное подробное раскрытие информации об использовании данных, подобное маркировке конфиденциальности приложений.

Читайте также:
Групповое ПО не умерло! HCL отказывается от второй бета-версии Notes / Domino версии 12 и становится полностью небрежной и облачной °

«Маркировка SDK должна начинаться с простого раскрытия того, кто получает данные, это было бы огромным улучшением по сравнению с текущей непрозрачностью — каждый должен знать названия компаний, у которых SDK установлены в любых приложениях, прежде чем они установят приложение, и уметь использовать эта информация, чтобы сделать осознанный выбор относительно того, хотят ли они использовать приложение «, — ответил Эдвардс.

Он сказал, что многие разработчики приложений, вероятно, предпочли бы, чтобы существующие метки конфиденциальности включали раскрытие SDK, потому что часто это не приложения, собирающие данные, а одна из фирм-партнеров SDK.

«Если бы Apple обновила свои метки конфиденциальности, включив в них имена SDK, установленные в приложениях, и разрешила включать SDK в метки конфиденциальности для доступа к определенным типам данных, это упростило бы разработчикам приложений объяснение своей собственной практики, сделало бы ее более понятной. для обычных людей, что на самом деле происходит и кто собирает их данные, и это упростило бы определение того, какие SDK должны получать запросы на доступ или удаление, если у пользователя есть опасения по поводу данных, которые он принимает, и переносимости этих данных », — сказал он. сказал.

Реестр попросили комментариев у Apple, Facebook и Google. Пока нет ни слова. ®