Разработчики приложений передают данные брокерам напрямую, с сервера на сервер. Многие iOS-приложения продают данные о местоположении пользователей брокерам данных несмотря на то, что это запрещено политиками Apple. Об этом сообщает SecurityLab.
Согласно новому отчету американской некоммерческой организации The Markup, хотя Apple и Google заблокировали одну лазейку, которой пользовались компании, продающие и покупающие пользовательские данные, есть другой очень простой способ, которым они пользуются сейчас.
Прошлая лазейка заключалась в том, что брокеры данных создавали SDK, обычно позволяющие разработчикам быстро и легко добавлять необходимые функции. Эти SDK также собирали пользовательские данные, в том числе о местоположении, которые брокеры потом могли продавать.
В прошлом году Apple заблокировала эти SDK и обязала разработчиков указывать, какие данные собирают их приложения и как используют.
В прошлом месяце в реализованных Apple механизмах защиты был обнаружен пробел. Как оказалось, обязав разработчиков сообщать о собираемых данных, компания просто понадеялась на их честность.
Согласно отчету The Markup, многие приложения продолжают продавать данные о местоположении брокерам, причем делают это не через SDK, как раньше, а напрямую, добавив в свои политики конфиденциальности одну невинную фразу.
В настоящее время брокеры данных стали применять следующий метод: если разработчик приложения заключил договор с брокером геолокационных данных, он может поставлять пользовательскую информацию непосредственно с сервера на сервер. Все это, конечно, происходит вне поля зрения магазина приложений.
Политики Apple требуют от приложений раскрывать, какие данные они собирают и как их используют, а также сообщать пользователям о том, что их данные могут быть переданы третьим сторонам. Тем не менее, кому эти данные продаются, сообщать не нужно, поэтому в политиках конфиденциальности многих приложений просто указывается, что они "передают данные партнерам".
Специалистам The Markup удалось ознакомиться с электронным письмом, присланным брокером данных Veraset (дочерняя компания SafeGraph) одному из разработчиков. В нем говорится, что разработчик может отправлять данные Veraset с сервера на сервер (без необходимости устанавливать или поддерживать SDK). Кроме того, сообщается, что разработчик может получать от 12 тысяч до 1 миллиона долларов в год за передачу компании данных о местоположении пользователей.
У Apple и Google нет никакого реалистичного способа как-то контролировать эту практику, и покончить с ней поможет разве что антипиратское законодательство, считают специалисты The Markup.