В связи с тем, что пандемия коронавируса заставляет школы переходить на онлайн обучение, родители и учителя обращаются к образовательным приложениям, чтобы преодолеть виртуальный барьер. Оказалось, что с помощью этих приложений учаться не только дети, но и онлайн рекламодатели получают новые знания.
Исследователи из Международного совета по цифровой отчетности просмотрели 496 образовательных приложений из 22 стран и обнаружили проблемы с конфиденциальностью во многих из них. Некоторые приложения предоставляли данные о местоположении сторонним рекламодателям, а также собирали уникальные идентификаторы устройств, которые нельзя изменить.
Местоположение вашего iPhone могут отслеживать - вот как это остановить
Отправка текущего местоположения вашего iPhone может быть очень полезным, есливы хотите, чтобы семья и друзья знали, где вы находитесь. Таким образом онисмогут понять где вы, когда вы не можете или не хотите обьяснять это вручную.Однако в зависимости от того, каким образом вы поделились своим мес…
ЭксплойтЭксплойт
Исследователи обнаружили, что 79 из 123 приложений обменивались пользовательскими данными с третьими лицами. Эти данные, могут включать ваше имя, адрес электронной почты, данные о местоположении и идентификатор устройства. Исследование также показало, что более 140 компаний получали данные из приложений для образовательных учреждений, большинство из которых отправлялись в Facebook, а затем в Google.
Исследователи безопасности часто обнаруживают проблемы с конфиденциальностью в приложениях, многие из которых собирают данные с устройств, даже если вы не даете согласия.
Даже если вы даете разрешение на сбор данных, они часто передаются нескольким третьим лицам, которые используют их по-своему. Например, мы можете разрешить своему приложению для погоды получать информацию о вашем местоположении для точных прогнозов, но партнеры по работе с данными этого приложения могут использовать его уже в рекламных или других целях .
Секретная служба купила данные о местоположении пользоваиелей
Агентства обычно требуют ордера или постановления суда, чтобы заставить компанию предоставить данные о местоположении для расследования. Но агентствам не нужен ордер, если они могут купить данные
ЭксплойтЭксплойт
Создатели приложений часто также используют комплекты для разработки программного обеспечения или SDK в качестве ярлыков, а не создают свое программное обеспечение с нуля, что также может привести к краже данных .
Исследователи безопасности могут проанализировать сетевой трафик и изучить код приложений, чтобы выяснить, куда утекают данные , но от обычного человека не следует ожидать таких навыкоы для защиты своей конфиденциальности.
Эти проблемы характерны для всех приложений, но в большей сложности для образовательных приложений, поскольку большинство людей, использующих их, - дети. Согласно отчету, миллионы загрузок образовательных приложений обмениваются данными о местоположении детей без их ведома.
Исследователи вручную протестировали 78 приложений для Android и 45 приложений для iOS, некоторые из которых совпадают. В своем исследовании они также автоматически протестировали 421 приложение для Android.«Когда у вас есть группа пользователей, которая так сильно ориентирована на молодых людей, это повышает чувствительность, о которой разработчики должны знать, а платформы должны проявлять бдительность», - сказал президент IDAC Квентин Палфри.
Ручные тесты более тщательны и позволяют посмотреть, как собираются личные данные, кому они отправляются и какая информация собирается.
В ходе исследования было обнаружено 27 приложений, которые собирали данные о местоположении. Некоторым и в правду была нужна собираемая информация - например, приложениям для созвездий, которые использовали ваше местоположение, чтобы сообщать вам, какие звезды находятся над вами в режиме реального времени. У других приложений были более сомнительные причины для сбора данных о местоположении, например у приложений для изучения языков программирования, таких как JavaScript и SQL.
Приложение Shaw Academy, собирало данные о местоположении идентификаторы устройств, а затем отправляло их сторонней маркетинговой компании WebEngage. В июне Shaw Academy хвасталась, что ее образовательная онлайн-платформа выросла почти в восемь раз с момента начала карантина COVID-19 в март , при этом большинство ее новых пользователей в возрасте от 25 до 34 лет.
Директор по стратегии Shaw Academy Джон Уайт сослался на политику конфиденциальности компании, в которой говорилось, что компания может собирать, использовать и обмениваться данными о местоположении в реальном времени через GPS, Bluetooth и IP-адрес, а также местоположения вышек сотовой связи, чтобы «предоставлять услуги на основе местоположения ", однако он так и не объяснил, что это за услуги.
Компания WebEngage, специализирующаяся на целевой рекламе в Facebook, электронной почте и push-уведомлениях, может похвастаться тем, что отслеживает 400 миллионов человек в месяц. Компания не ответила на запрос о комментарии."Эти данные о местоположении собираются анонимно, если пользователь не дает согласия. Пользователь может отозвать согласие на сбор, использование, передачу, обработку и обслуживание данных о местоположении и данных учетной записи Shaw Academy и наших партнеров, не используя данные о местоположении функции и отключение настроек служб геолокации (если применимо) на устройстве и компьютере пользователя ", - сказал Уайт в электронном письме.
Есть и приложения, которые не собирают данные о местоположении, но если они собирают данные, связанные с Wi-Fi, например, или данными вашего маршрутизатора, то это фактически служит маркером местоположения, так как по названию сети и ее мак-адресу можно узнать в точности где она находиться. Как это сделать мы уже писали в этом посте.
Данные точки доступа часто привязаны к местоположению - если вы активно не перемещаете маршрутизатор - это означает, что рекламодатели знают, когда вы находитесь в домашней сети Wi-Fi, а когда в кафе.
Многие из приложений также собирают идентификаторы устройств вместе с рекламными идентификаторами, что противоречит политике разработчиков Google. У вашего телефона несколько идентификаторов, но разработчикам обычно не разрешается собирать постоянные идентификаторы.
Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.
Читать далее...