Эксперты АНО «Информационная культура» проанализировали приватность государственных мобильных приложений в России.
Как отмечают эксперты, разработчики государственных приложений пользуются теми же инструментами, сервисами и продуктами отслеживания пользователей, что и частные разработчики.
Сложившаяся практика приводит к тому, что в мобильных приложениях, создаваемых разработчиками государственных приложений, присутствует значительное число трекеров, передающих сведения о пользователях третьим сторонам, а сами приложения получают большое число разрешений на телефоне пользователя. Таким образом, и сами приложения, и встроенные трекеры получают доступ к ключевым возможностям смартфонов: камере, хранилищу данных и программ, отслеживанию местонахождения и многому другому.
В рамках исследования были изучены 44 мобильных приложения, созданных для государственных и муниципальных органов, госучреждений и госкорпораций. Эксперты обнаружили в них 20 различных встроенных сторонних (не имеющих отношения к их разработчикам и органам власти) трекеров, а также использование 88 уникальных разрешений для доступа к данным и функциям устройства:
- большинство приложений из выборки (88%) имеют хотя бы один встроенный сторонний трекер, который передаёт данные третьим лицам — сторонним компаниям;
- 19 приложений (43%) передают данные как минимум 3 сторонним компаниям — владельцам отслеживающих трекеров;
- трекеры компаний Facebook и Google используются в большинстве приложений;
- около половины используемых в государственных мобильных приложениях трекеров относится к аналитическому типу, данные о геолокации собирает около 15% трекеров, в рекламных и маркетинговых целях — также около 15%;
- большая часть трекеров, используемых в государственных мобильных приложениях, принадлежит компаниям из США (86%), а приложение «Услуги РТ» использует трекер организации из Японии;
- все приложения запрашивают как минимум 5 разрешений на доступ к данным и функциям устройства. При этом каждое приложение из выборки использует хотя бы одно потенциально опасное разрешение;
- из списка потенциально опасных разрешений приложения чаще всего запрашивают доступ на чтение и запись во внешнее хранилище данных, доступ к точному и приблизительному местоположению, камере и получению информации об устройстве.
Комментарии
Все это неизбежно, т.к. все это обусловлено изначально ущербной системе администрирования прав, унаследованных с допотопных Unix-ов, повторенных во всех Linux-ах, а потому и перекочевавшая на мобильные платформы Android-ов и продукции Apple.
Существует популярный миф о якобы безопасности Linux. Конечно, в случае правильно настроенных прав и пользователей, появление примитивной вирусни существенно ограничено. Но информационная безопасность заключается не в этом.
Многие приложения для обычного Linux и для мобильного Android тупо сливают информацию куда-то во вне, о чем собственно и говорится в заметке. И имеющаяся система прав и администрирования сделать с этим ничего в принципе не может. Отдельному приложению можно запретить доступ, например, к камере или списку контактов, но другому приложению эти права будут предоставлены. Поэтому, если не это, то другое приложение будет сливать информацию куда-то во вне, и пользователи с этим ничего сделать не смогут, такова внутренняя архитектура Linux и Android, а соответственно все эти системы дырявые как решето.
В некой условной отечественной сборке дистрибутива Linux можно вручную "выпилить" всякие левые функции слива информации из тех же самых браузеров. Вся проблема в том, что эти самые браузеры обновляются чуть ли не каждый день. Соответственно ежедневно выполнять это самое выпиливание их всех новых версий - это достаточно тяжелый труд, а потому требующий не малых трудовых и денежных ресурсов. Если отказаться от обновлений, то достаточно скоро теряется функционал сетевых сервисов.
Поэтому отсутствие информационной безопасности - это базовое свойство всей современной ИТ-инфраструктуры. Все эты "дырки" и уязвимости являются базовыми и фундаментальными. "Костылями" и "заплатами" проблему не решить. И чем дальше, тем этих "костылей" и "заплат" требуется больше, все превращается в их нагромождение.
Полностью решить проблему можно, но для этого требуется все информационные и цифровые системы переделать полностью, с нуля, по сути вообще не используя имеющийся сегодня задел. Соответственно задача слишком сложная, трудоемкая и затратная. Современное общество пока к этому не готово.
Хочу заметить,камрад,что в приложениях для appgallery нет api гугла,так что проблема вполне решаема.
Зато там есть api хуавея, плюс там есть браузер, а этого уже достаточно. А если вы не пользуетесь интернетом - то зачем вообще смартфон?
Права доступа не имеют ровным счетом никакого отношения к встраиванию разработчиком трекеров в свои приложения. У вас какие-то совершенно странные претензии к "ущербной системе Unix", которая, несмотря на "ущербность" была и остается намного менее подверженной атакам, чем Windows, когда проблема вообще не в этом.
Это как если бы житель дома навесил на дверь огромные замки, но стал бы выбрасывать ценности ворам в окно, самостоятельно. Замки здесь вообще не виноваты, они от такого поведения не защищают.
А при чем здесь Винда?
Проблема именно в том, что на уровне архитектуры ОС отсутствует тот функционал, который бы позволял обеспечивать информационную безопасность.
Как Вы написали, замки действительно не помогают обеспечивать ни защиту информации, ни конфиденциальность. Система назначения прав в том виде, что имеется, она именно такая топорная.
Просто нынешняя система назначения прав - это идеология 60-70-80х годов, когда на больших ЭВМ коллективного пользования, а потом уже на персональных ПК в локальной сети нужно было разграничивать права. Этот подход давным давно устарел.
Во. Хотел сам писать ответ, но понял что не в коня корм. Спс.
У автора или ангажированность или явные проблемы с пониманием современного linux.
Современный (как и первоначальный) линукс не обладает инструментарием обеспечения информационной безопасности.
И проблема тут в том, что среднестатистические сисадмины сами не владеют даже базовыми понятиями защиты информации, а потому путают понятие защиты информации и права юзера/админа.
Похоже, ты вообще не знаешь как там и что устроено. А всё туда же.
У тебя самого огрызк - уверен на 99%.
Я как раз досконально знаю, как оно там устроено. Мой личный телефон древний, еще на Симбиан, т.к. все жду, когда сломается, но уже лет 12 никак сломаться не может.
Врешь или сейчас или в первом посте.
Врешь ты, т.к. сам не знаешь ничего, особенно в сфере безопасности.
Слыш, "специалист", ты себе хотя бы листочек со своими "перлами" заведи, чтобы не путаться.
Уроки, кстати, сделал?
Ты малолетка не борзи. Изучи тему, а то судя по всему знаний на уровне школьника. Сознайся, что ты в теме "защиты информации" не знаешь ни чего от слова совсем. И если ты под защитой информации понимаешь что-то типа ограничения доступа к файлам или типа защиты портов, то это детский сад, а не защита информации.
Школоло, тебе известно, например, что такое grsecurity ?
Это какой-то рандомный набор слов.
Если для Вас это так сложно, то это Ваши проблемы. Бывает.
Вы просто такую смищную ересь тут написали, что даже джун хохотал бы.
Ты просто не в теме, у тебя знаний на уровне дошкольника.
Утрата контроля информационного пространства = утрате государственности.
Во вне РФ проигрышей многократно больше выигрышей, притом что 1-2 место в мире по головам занимаем в области безопасности систем коплексной, конкуренты лишь ФРС и им подконтрольные фирмы. Деадекватность управления Русской частью земной колонии как и работа СМИ на врага очевидны. По дронам ещё видел в 2005, а до того по нанолитографии, когда текущий мировой уровень мог быть достигнут начни в 2002 к 2011 году примерно, а по производительности суперкомпов МНОГО порядков выше. И не Aurora экзафлопником был бы первым (условно) а с тумбочку криогенная система. В этом году в Аргоннской нацлабе его пускают. Просрано более 20 лет, отставание США было бы не менее 10.
Те машины что в 2004 и 2005 первый полёт имели вы так и не имеете по ТТХ совокупности. В младшем "Орлан-10м" имеете ОТДАЛЁННО лучшую машину который сравним по массе и времени полёта, но не может нести 2 РЛС с АФАР бокового обзора + 1 НЧ для работы в сети. И стоит сие миллонов 12 поди а не первые вместе с ТРЕМЯ РЛС на 2 диапазона и сетевыми возможностями.
Большая машина имела по топливу 30ч при нагрузке при 10ч до 35-40кг. Вы НИ ОДНОЙ машны такого класса ни первой ни второй не имеете. Дальность со спутниковым более 2000км на 2003 уже мной планировалась, версия для США с нею.
Сейчас перегоняют, многое перегнали, роевой ИИ в США благодаря тому что деньги были у шумерских биороботов и они работают на ФРС.
В 2016, не позднее перегнали в КНР по роевым ключевые моменты. Там есть один как минимум тот кто в состоянии правильно понимать.
Где ДЕШЁВЫЕ с высокими возможностями дроны в РФ?
Где нанолитография НАСТОЯЩАЯ а не мычание чубайса, которому пожизненное мало дать с иже с ними по совокупности содеянного.
Я вижу ПОСЛЕДОВАТЕЛЬНУЮ в течении четверти тысячелетия, как минимум доказанную с Ломоносова и Ползунова, работу высших лиц при всех режимах против Русского сектора земной колонии.
Вы не имеете даже тех технологий которые имели в конце 18 века и которые были публично при членах АН демонстрированы в Горном Карамышев (их два было, один у Линнея учился).
Евгения Палыча Лемана - потомка того Лемана что в статье выспрашивал. По предку не так много сведений знал, больше в литературе АН удалось найти. Важен сам факт технологического уровня.
Вокруг света 1969-06, страница 35