Hogyan működnek a Privacy Labels (elméletben)
Amikor a fejlesztők benyújtanak egy alkalmazást az App Store-ba, kitöltenek egy Privacy kérdőívet. Bejelentik: milyen adatokat gyűjtenek (kapcsolatok, helyszín, használati adatok stb.), összekapcsolják-e azokat a személyazonosságoddal, használják-e követésre, és továbbadják-e harmadik feleknek. Ezek az információk megjelennek az App Store-ban az alkalmazás "Adatvédelmi értékként". A cél a transzparencia — lehetővé tenni a felhasználóknak, hogy összehasonlítsák az alkalmazásokat a letöltés előtt. A gyakorlatban ez teljes mértékben a fejlesztők becsületességén múlik. És a pontatlanság következményei minimálisak.
A kutatás: címkék vs. valóság
Több tanulmány vizsgálta az App Store Privacy Labels pontosságát: A Mozilla kutatói megállapították, hogy sok népszerű alkalmazásnál a Privacy Labels nem egyezett meg a tényleges adatgyűjtési gyakorlattal. Sok alkalmazás több adatot gyűjtött, mint amit a címkék jeleztek. A Washington Post elemzése hasonló eltéréseket talált — az alkalmazások, amelyek "nem gyűjtenek adatokat" állítottak, miközben valójában eszközazonosítókat, helyadatokat és használati analitikát továbbítottak. A fundamentális probléma: nincs automatikus ellenőrzés. Az Apple ellenőrzi az alkalmazások funkcionalitását és biztonságát, de a rendszeres ellenőrzés minden Privacy állítást a tényleges hálózati viselkedéssel szemben megkövetelné, ami a kapcsolatokat figyelemmel kísérné.
Miért csinálják rosszul a fejlesztők
Nem mindig szándékos csalás. Sok fejlesztő maga sem tudja, mit küld az alkalmazás: A harmadik fél SDK-k a legnagyobb bűnösök. Egy fejlesztő beépít egy crash-raportáló SDK-t, és ez az SDK hív haza eszközadatokat, használati mintákat, és néha helyadatokat. A fejlesztő lehet, hogy nem ismeri az SDK teljes adatgyűjtési gyakorlatát. Az analitikai szolgáltatások gyakran több adatot gyűjtenek, mint amit a fejlesztők beállítanak. Még egy egyszerű "Oldalmegtekintés"-analitika esemény is tartalmazhat eszközmodellt, OS-verziót, képernyőfelbontást, időzónát és nyelvet. A Privacy kérdőív összetett és néha félreérthető.
Hogyan ellenőrizd, mit csinálnak valójában az alkalmazások
Ne bízz a címkékben — ellenőrizd a viselkedést. Több megközelítés létezik: A hálózati megfigyelés a legmegbízhatóbb módszer. Egy olyan eszköz, mint a NetMute, figyeli minden kapcsolatot, amit az alkalmazásod létesít, és azonosítja a ismert követőket, elemző szolgáltatásokat és hirdetési hálózatokat. Minden alkalmazásnak ad egy adatvédelmi pontszámot a tényleges viselkedés alapján — nem a saját állításokra. Ez alapvetően különbözik az adatvédelmi címkék olvasásától. A címkék megmondják, amit a fejlesztő ÁLLÍT. A hálózati megfigyelés megmutatja, amit az alkalmazás VALÓJÁBAN TESZ. Ha ezek nem egyeznek, a hálózati adatok mindig pontosabbak.
Mit kell tenned
1. Ne hagyatkozz teljesen az adatvédelmi címkékre. Hasznosak alapindikátorként. Egy alkalmazás, amely kiterjedt adatgyűjtést deklarál, legalább őszinte. 2. Ellenőrizd hálózati megfigyeléssel. Használj olyan eszközt, mint a NetMute, hogy ellenőrizd, mit küldenek valójában a telepített alkalmazások. 3. Legyél szkeptikus a "nem gyűjt adatokat" felirattal szemben. Ez a legpontatlanabb címke. Szinte minden alkalmazás gyűjt adatokat beágyazott SDK-kkal. 4. Ellenőrizd az adatvédelmi pontszámokat. A NetMute App X-Ray pontszámokat ad a valódi hálózati viselkedés alapján. Egy alkalmazás, amely nagyszerű adatvédelmet állít, de alacsony pontszámot kap, hazudik. 5. Szavazz a pénztárcáddal. Ha találsz egy alkalmazást félrevezető adatvédelmi címkékkel, válts egy másikra.