Studiu: Peste 3300 de aplicații Android suspectate că ar încalca confidențialitatea online a copiiilor


Se suspectează că mai mult de 3300 de aplicații Android din Google Play dedicate copiiilor colectează date într-un mod inadecvat, ceea ce înseamnă că aplicațiile ar putea încălca legislația americană privind protecția copilului, după cum indică un articol recent.

Studiul numit “Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale a analizat 5,855 dintre cele mai populare aplicații Android dezvoltate pentru copii. Acesta a indicat că "aproximativ 57%" dintre aplicații - 3.337 la număr - ar încălca legea privind protecția confidențialității online a copiiilor (COPPA) din SUA.

COPPA protejează copiii sub 13 ani de colectarea invazivă a informațiilor de identificare personală (PII). Legea reglementează modul în care aplicațiile, jocurile sau site-urile colectează și procedează date sensibile de la minori. În acest fel, se interzic în mod categoric anumite practici de colectare a datelor, iar pentru altele se cere consimțământul părinților.

Cele 5855 de aplicații testate au fost realizate de 1889 de dezvoltatori și au cumulat în total aproximativ 4,5 miliarde de instalări. Acestea sunt listate în 63 de categorii diferite în Google Play, iar cele mai multe dintre ele sunt incluse, evident, în secțiunea de jocuri.

Deci, ce anume fac aceste aplicații?

O echipă compusă din șapte cercetători ai unor universități din SUA și Canada a folosit un proces de testare automată pentru a detecta modul în care aceste aplicații gestionează datele.

Ei au descoperit că încălcările confidențialității utilizatorilor îmbracă mai multe forme. De exemplu, 28% dintre aplicații au accesat date sensibile prin permisiunile Android. Iar cel mai îngrijorător procent, aproape 5% dintre aplicații, au colectat informațiile de contact sau locația copiiilor, în special adresa de e-mail sau numărul de telefon al proprietarului dispozitivului, fără permisiunea unui părinte.

Aproape trei pătrimi (73%) au partajat date sensibile pe internet, dar 40% dintre aceștia nu au aplicat măsuri de securitate rezonabile, din cauză că nu foloseau TLS (Transport Layer Security), standardul pentru asigurarea datelor în tranzit.

Studiul a identificat, de asemenea, potențiale neconformități la aproape 19% dintre aplicațiile care au colectat așa-numiții identificatori persistenți (cum ar fi numărul unic IMEI al unui dispozitiv sau adresa MAC WiFi) pentru părți terțe în scopuri interzise, ​​în special profilarea utilizatorilor și targetarea reclamelor. Potrivit COPPA, acești identificatori sunt caracterizați drept informații cu caracter personal, atâta vreme cât pot fi folosiți pentru a recunoaște un utilizator pe parcursul unei perioade și pe diferite site-uri sau servicii online.

În plus, 39% din aplicații au transmis identificatorul de publicitate al Google cunoscut sub numele de AAID împreună cu un alt identificator (și imuabil) către aceeași destinație, ceea ce aparent intră în contradicție cu termenii de utilizare ai programului Google Play Designed for Families (DFF).

Informații personale de identificare (PII) colectate de un număr dintre aplicațiile testate
(credit: Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale)

Cercetătorii blamează integrarea aplicațiilor și utilizarea kiturilor de dezvoltare software pentru terțe părți (SDK-uri) pentru acest compromis de date. "În timp ce multe dintre aceste seturi SDK oferă opțiuni de configurare pentru a respecta COPPA prin dezactivarea urmăririi și a publicității comportamentale, datele noastre sugerează că majoritatea aplicațiilor nu utilizează aceste opțiuni sau le propagă incorect în SDK-urile de mediere", arată articolul.

Având în vedere acest lucru, cercetătorii susțin că "multe încălcări ale confidențialității sunt neintenționate și cauzate de neînțelegerile SDK-urilor părților terțe".

Răspunsul Google

Cercetătorii oferă un vot de încredere pașilor Google pentru a asigura conformitatea cu COPPA, dar au adăugat că "nu există nicio aplicare a acestora (sau cel puțin este limitată)". Ca urmare, ei îndeamnă Google să fie mai activ în procesul său de verificare.

Între timp, în ghidul lui Tom a fost citat un purtător de cuvânt al Google ca răspuns la aceste concluzii:

"Luăm foarte în serios raportul cercetătorilor și analizăm constatările lor. Protecția copiilor și a familiilor este o prioritate de vârf pentru noi, iar programul nostru Designed for Families cere dezvoltatorilor să respecte cerințele specifice mai presus și dincolo de politicile noastre standard Google Play. Dacă constatăm că o aplicație încalcă politicile noastre, vom lua măsuri. Apreciem întotdeauna munca comunității de cercetare pentru a ajuta ecosistemul Android să fie mai sigur. "

Cercetătorii au făcut disponibile concluziile lor pentru fiecare aplicație testată pe un site dedicat: https://www.appcensus.mobi/.

Tomas Foltyn May 2, 2018

Lasa un comentariu