| 0 |
|
Як повідомляє Financial Times, найбільша російська інтернет-компанія «Яндекс» вбудувала код у програми, знайдені на мобільних пристроях, що дозволяє збирати інформацію з пристроїв мільйонів користувачів.
Мова йде про програмного забезпечення від «Яндекс», яке дозволяє розробникам створювати додатки для пристроїв під керуванням iOS та Android.
«Яндекс» збирає дані користувачів мобільних пристроїв та відправляє цю інформацію на сервери в росії. Дослідники висловлюють занепокоєння, що Кремль може отримати доступ до тих же «метаданих» і використовувати їх для відстеження людей через їхні мобільні.
Дослідник Зак Едвардс (Zach Edwards) вперше зробив відкриття щодо коду «Яндекс» в рамках кампанії аудиту додатків для некомерційної організації Me2B Alliance. Четверо незалежних експертів провели тести для Financial Times, щоб перевірити його роботу.
«Яндекс» визнав, що його програмне забезпечення збирає інформацію про «сам пристрій, мережу та IP-адресу», яка зберігається «як у Фінляндії, так і в росії», але назвав ці дані «неперсоналізованими та дуже обмеженими». У заяві додано: «Хоча теоретично можливо, на практиці надзвичайно важко ідентифікувати користувачів виключно на основі такої зібраної інформації. «Яндекс» точно не може цього зробити».
Викриття прийшли в критичний час для «Яндекс», який часто називають «російським Google», який вже давно намагається прокласти незалежний шлях, не порушуючи бажання президента росії Володимира Путіна отримати більший контроль над Інтернетом.
Компанія заявила, що дотримується «дуже суворого» внутрішнього процесу при взаємодії з урядами: «Будь-які запити, які не відповідають всім відповідним процедурним та юридичним вимогам, відхиляються».
Але Шер Скарлетт (Cher Scarlett), у минулому головний інженер-програміст із глобальної безпеки в Apple, заявила, що після збору інформації про користувачів на російських серверах Яндекс може бути зобов’язаний надати її уряду відповідно до локальних законів. Інші експерти відмічають, що метадані такого сорту, які збирає «Яндекс», можуть використовуватися для ідентифікації користувачів.
Рон Уайден (Ron Wyden), голова фінансового комітету Сенату США і один з розробників інтернет-регулювання в США, різко розкритикував Google і Apple за те, що вони недостатньо робили для захисту смартфонів від програмного забезпечення «Яндекс», яке використовується зараз у 52 тис додатків, які охоплюють сотні мільйонів споживачів.
«Ці програми вилучають конфіденційні дані з додатків на телефоні, загрожуючи національній безпеці США, приватності американців та інших людей у всьому світі», – сказав він.
«Яндекс» вважається глобальним технологічним гігантом і котується на Нью-Йоркській фондовій біржі, її акції належать американським фондам. Вона заснована в Амстердамі, а засновник Аркадій Волож живе в Ізраїлі. У 2019 році компанія досягла угоди з урядом росії, кодифікувавши структуру, яка гарантує, що Москва може втручатися в деякі питання, такі як іноземні придбання, без контролю за повсякденними операціями.
Вторгнення в Україну зруйнувало міжнародні амбіції «Яндекс», вдарило по курсу акцій, а деякі західні партнери розірвали зв’язки з компаниєю. Її виконавчий директор Тигран Худавердян подав у відставку минулого тижня після того, як потрапив під санкції ЄС, спрямовані на бізнесменів близьких до Кремля.
У «Яндекс» є програмне забезпечення у вигляді SDK, який називається «AppMetrica».
Серед програм із встановленим AppMetrica є ігри, програми для обміну повідомленнями, інструменти для обміну місцезнаходженням і сотні віртуальних приватних мереж — інструменти, призначені для того, щоб люди могли переглядати Інтернет без відстеження. Сім VPN створені спеціально для української аудиторії. За даними Appfigures, групи аналізу додатків, загальна кількість встановлень програм, які включають AppMetrica SDK, обчислюється сотнями мільйонів.
«Apple і Google стверджують, що монопольний контроль над їхніми магазинами додатків необхідний для забезпечення безпеки споживачів. Але ж Яндекс SDK, який залишився в цих магазинах, є ще одним доказом того, що безпека споживачів, про яку вони стверджують - це ілюзія», заявив сенатор Уайден.
«Яндекс» захищав використання свого SDK, заявляючи, що він «функціонує так само, як і міжнародні аналоги», включаючи Google Firebase, використаний для створення більш ніж 2 мільйонів додатків Android. Компанія заявила, що збирає дані лише «після того, як додаток отримає згоду користувачів» через додатки для Android та iOS. «Ми інформуємо розробників про функціонування AppMetrica, і вони зобов’язані, якщо це передбачено законодавством, отримати згоду від своїх користувачів», – додали в «Яндекс».
У компанії також заявили: «Ми ніколи не надавали жодної інформації про користувачів будь-яких додатків, на яких встановлено AppMetrica, і нас ніколи не просили».
Apple також заявила, що AppMetrica не може отримати доступ до даних користувачів без розбору, оскільки SDK вимагає згоди.
Патрік Джексон (Patrick Jackson), технічний директор Disconnect, розробник цифрового інструменту конфіденційності, каже, що SDK можуть становити ризик саме через те, що вони не запитують дозволу. Замість цього вони «застосовують дозволи, які, користувач, вже надав додатку», підкреслив він.
Google визнала, що їй потрібно зробити більше роботи, щоб забезпечити прозорість користувачів щодо того, які пакети SDK використовуються для створення додатків, і заявила, що проведе розслідування на основі висновків, представлених FT.
Деякі розробники додатків почали видаляти AppMetrica зі своїх програм після вторгнення росії в Україну. «Ми прийняли рішення припинити використовувати російські сервіси, коли почалася війна», йдеться в заяві компанії Gismart, яка виробляє десятки ігор із встановленим AppMetrica.
Opera, популярний веб-браузер із вбудованим VPN, також заявив, що відключив SDK станом на 15 лютого, «готуючись до його повного видалення».
І навпаки, понад 2000 додатків додали AppMetrica SDK з моменту вторгнення в Україну, у тому числі кілька, які, схоже, призначені для відстеження українських користувачів.
Наприклад, «Дзвоніть в Україну» — це «безкоштовний месенджер для українців», який запустили в Play Store 10 березня із синьо-жовтим прапорцем як іконкою. Після завантаження програма може побачити особистість користувача та прочитати його контакти. Розробник містить фіктивну адресу електронної пошти: «[email protected]».
Шер Скарлетт висказала стурбованність тим, що лише за останні 30 днів AppMetrica була встановлена в 21 додатку VPN. «Ви намагаєтеся бути більш безпечними, використорвуючі такі програми, але насправді робите себе більш вразливими», додала вона.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
