АНО «Информационная культура» опубликовало на сайте [1] исследование 44 мобильных приложений, разработанных государственными органами. Методика была следующая: «При проведении исследования использовалась база трекеров проекта Exodus Privacy (французский некоммерческий проект с открытыми текстами), а также приложение для командной строки Exodus Standalone. APK файлы мобильных приложений были выгружены через API Google Play с помощью специально разработанных для этого скриптов на языке Python». Собственно, у проекта Exodus есть веб-сервис [2], в котором достаточно указать имя приложения, и неизвестно как работающий сценарий скажет сколько мобильное приложение требует разрешений на доступ и сколько в него встроено трекеров — закладок, которые сообщают их разработчикам различные персональные данные. Проверить 44 приложения в таком сервисе — час работы, но вот выводы из подборки можно сделать далеко идущие. Например, в приложении «Сбербанк Онлайн» сервис обнаруживает 5 трекеров и 49 разрешений. И что мне с этим знанием делать?
Из своей подборки российских государственных приложений «Информационная культура» делает следующие выводы: 88% приложений из выборки имеет хотя бы один встроенный сторонний трекер; 43% испытуемых передают данные как минимум 3 сторонним компаниям; 86% трекеров принадлежит компаниям, находящимся в юрисдикции США. Последнее особенно забавно, поскольку всего один трекер принадлежит японской компании, поэтому и возникает разница между первой и последней цифрой. Одним из выводов исследования является следующий «Устройство мобильных приложений, в т.ч. государственных, приводит к ситуации трансграничной передачи персональных данных, не просто игнорируемой российскими регуляторами, но и самими же регуляторами осуществляемой». В общем, как сказал в свое время Штирлиц: «Никому верить нельзя. Мне можно…»
Однако если не доверять на коленке сделанным сервисам проверки трекеров, типа Exodus, цель которых максимально запугать разработчиков мобильных приложений и тем самым максимально поднять свою значимость, но обратиться к специалистам, которые реально анализируют анализом приложений на безопасность, то картина может оказаться несколько иной. В частности, компания Dr. Web провела собственный анализ всех приложений и опубликовала результаты у себя на сайте [3].
В исследовании Dr. Web, в частности, указывается следующее: «В оригинальном исследовании говорилось о потенциальных рисках приватности, которые исходят от рекламных SDK и AdMob от Google в частности. Отмечалось, что соответствующий модуль находится в приложениях «Госуслуги Югры», «ЕМИАС.ИНФО», «Check Covid-19», «Налоги ФЛ», «Личный кабинет предпринимателя», «ЕИС» и «Дневник МЭШ». В действительности его в них нет. Все указанные программы созданы с использованием популярного инструментария разработки React Native, а также набора модулей React Native Firebase для него. И именно в этих модулях содержатся определенные строки с именами некоторых компонентов AdMob, из-за чего статический анализ мог ошибочно указать на наличие полноценного рекламного SDK». Единственное, где следы присутствия AdMob были обнаружены — это приложение «Госуслуги», но и в нем сам трекер не задействован.
Исследователи Dr. Web также отмечают, что «как и было указано в исследовании, многие из рассмотренных нашим вирлабом программ действительно содержат SDK от Facebook. Однако данный модуль применяется, например, для регистрации учетных записей через социальную сеть, а также содержит такие функции как, например, «Поделиться». Фактов сбора чувствительной информации этим SDK мы не выявили». Единственный опасный трекер по словам экспертов Dr. Web, который реально может нанести ущерб персональным данным — это рекламный идентификатор Google, однако в исследованных приложениях он практически не используется.
Наиболее спорным специалисты назвали только одно приложение — «Московский транспорт». Объясняется это просто — «используемый в приложении «Московский транспорт» модуль сервиса Amplitude по сравнению с другими рассмотренными сервисами является наиболее спорным. Он не находится в российской юрисдикции, собирает точные данные о местоположении и позволяет отслеживать рекламные идентификаторы, что несет потенциальные риски раскрытия конфиденциальной информации». Беда в том, что именно это приложение и является наиболее часто используемым и полезным. Возможно, поэтому в него и встроили так много трекеров местоположения, чтобы оно работало наиболее эффективно. О безопасности персональных данных разработчики, видимо, и не задумывались.
Результаты сравнения двух исследований неутешительные: АНО «Информационная культура», которая, как сказано на их сайте, «сотрудничает с государственными структурами Российской Федерации и деловыми структурами как внутри страны, так и за рубежом», на самом деле дискредитирует российских разработчиков приложений с помощью странного и непонятно как работающего иностранного сервиса. Хотя предлагаемые им для государства рекомендации вполне правильные: разработка приложений для ФОИВов должны быть предметом специального регулирования; необходимо разработать нормативные требования по контролю за соблюдением законов при разработке таких приложений; и должны быть разработаны методички по использованию трекеров и управлению полномочиями в мобильных приложениях. Правда, все эти вопросы уже регулируются требованиями по уровням доверия, которые должны соблюдаться в том числе и при разработке мобильных приложений, подключаемых к государственным ИС. Странно, что ФСТЭК еще не выпустил методичку на эту тему.
[1] https://privacygosmobapps.infoculture.ru/
[2] https://reports.exodus-privacy.eu.org/en/
[3] https://www.drweb.ru/pravda/issue/?number=1173&lng=ru
