«Все знают твое местоположение». IT-специалист рассказал, как отследил себя в приложении

В одном англоязычном блоге появился интересный пост от IT-специалиста Тима, который решил проверить, какие данные о нем есть в сети и как они туда попали. Спойлер: выводы неутешительные — приватности в интернете нет. Допустим, это и так понятно, но даже Тима как специалиста поразили две вещи: что самые простые игровые приложения передают на биржи сведения вроде уровня подсветки дисплея и зарядки батареи. И второе — насколько процесс передачи данных автоматизирован. 

Исследование мужчина проводил на старом iPhone 11, который он восстановил до заводских настроек и с новым Apple ID. Весь входящий и исходящий трафик записывал с помощью Charles Proxy, для расшифровки трафика настроил SSL-сертификат на iPhone. Тест проводил на простой игре, которая была популярна лет 10-12 назад - Stack от KetchApp. 

«После пары десятков часов попыток он обнаружил, что телефон отправляет запросы с указанием местоположения и  несколько запросов, отправленных моим телефоном, с указанием моего местоположения, а также запросы, которые раскрывают мой IP-адрес , который можно преобразовать в геолокацию», - пишет Тим.

Торги данными — так называемые аукционы RTB - проходят в реальном времени. Когда человек выходит в интернет, идет ли он какую-то веб-страницу или в приложение, практически везде есть реклама. За несколько миллисекунд до того, как реклама загрузится и будет показана пользователю, веб-сайт отправляет «запрос на ставку» на различные рекламные биржи, чтобы получить возможность показать рекламу своей целевой аудитории. Чтобы наиболее точно «вычислить» потенциального покупателя, анализируется огромный объем данных с наших смартфонов.

Что известно о пользователе: его рекламный идентификатор — MAID (он есть у каждого), точная геолокация, IP адрес, технические параметры устройства. Но не только. Даже технического специалиста напугал объем данных, который получают третьи лица, включая яркость экрана, объем памяти, текущую громкость и надеты ли на человеке наушники во время использования приложения. Зачем это нужно: если, к примеру, компания продвигает приложение размером 1 ГБ, а у пользователя осталось всего 500 МБ места, ему рекламу не покажут.  Приложение для вызова такси Uber динамически корректирует цену в зависимости от уровня заряда батареи — потому что заказчик не будет ждать более дешевого варианта с оставшимися 4%, стоя на улице. 

Агрегируют и продают информацию брокеры данных. Например, Databricks Marketplace. Там доступен «бесплатный образец». Компания предлагает бизнесу с помощью глобальных данных, которые собраны с 1,5 миллиардов устройств, «улучшить свои продукты и услуги, обнаружить скрытые закономерности, провести быстрый анализ и получить глубокие знания». Тим обнаружил данные о себе в одной из крупной баз данных, но покупать не стал — цена составляет несколько десятков тысяч долларов. Его интересовало, можно ли получить реальную личную информацию о человеке. Оказалось, что да. За каждым слитым в сеть рекламным идентификатором MAID реальная личная информацию, которая доступна у посредников. Тим нашел такие сведения на Datarade. Там знают полное имя, адрес электронной почты, номер телефона, фактический адрес, право собственности на недвижимость пользователей и так далее.

На англоязычных ресурсах проблему доступности данных обсуждают давно. В США люди подвергаются преследованиям за то, что они служители закона, за религиозные убеждения, которые исповедуют, в отдельных штатах, где запрещен аборт, под наблюдением женщины, которые хотят его сделать, и клиники, которые готовы провести операцию. Продажа персональных данных позволяет киберпреступникам лучше нацеливать свои операции, узнавать о внебрачных связях людей, вымогать деньги у государственных служащих, считает автор одной из статей на эту тему Джастин Шерман из Georgetown Law.

Пользователи Android могут удалить свой рекламный идентификатор, приложения не смогут к нему обращаться и передавать сведения на биржи. Реклама не исчезнет, но но таргетированной, адресной станет гораздо меньше, а это полезно хотя бы потому, что поможет избежать ненужных, навязанных покупок. Удалить MAID можно в разделе «Настройки»- «Конфиденциальность» - «Реклама» - «Удалить рекламный идентификатор». Отозвать разрешения приложений на передачу геоданных можно там же, в разделе «Настройки» - «Локация». Задать персональные настройки -  «Настройки» - «Приложения».

Сделав все это, остается только запомнить для себя, что приватность в виртуальном мире - не больше, чем иллюзия.

Как написал футуролог Роман Юсуфов, у себя в Telegram, «с каждым годом приватность будет становиться все более условным понятием, а технологические компании найдут новые способы монетизации пользовательских данных, потому что это гигантский рынок. Регулировать оборот персданных нужно еще более жестко (потому что сами себя мы уже не защитим, дисбаланс сил), а еще важнее — заниматься просвещением пользователей о реальных масштабах слежки (чтобы не обманываться иллюзией отказа от принятия cookies)».

Кирилл ГРАДОВ

«Прессапарте»/Pressaparte.ru

Читайте также: 

Близок день, когда все граждане России окажутся в одном глобальном списке

Когда хочется поговорить, и не с кем, выручит нейросеть