Як працюють етикетки конфіденційності (у теорії)
Коли розробники подають додаток у App Store, вони заповнюють форму конфіденційності. Вони декларують: які дані збирають (контакти, місцезнаходження, дані використання тощо), чи пов’язані вони з вашою ідентичністю, чи використовуються для трекінгу і чи передаються третім особам. Ця інформація з’являється у App Store як "харчова етикетка" конфіденційності додатку. Ідея — прозорість — дозволити користувачам порівнювати додатки перед завантаженням. На практиці це повністю залежить від чесності розробників. Наслідки за неточності мінімальні.
Дослідження: етикетки vs. реальність
Кілька досліджень досліджували точність етикеток конфіденційності у App Store: Дослідники з Mozilla виявили, що значна частина популярних додатків не відповідала своїм етикеткам щодо конфіденційності. Багато додатків збирали більше даних, ніж декларували. Аналіз Washington Post виявив подібні розбіжності — додатки, що стверджували "не збирають даних", фактично передавали ідентифікатори пристроїв, дані місцезнаходження і аналітику використання. Фундаментальна проблема: відсутня автоматизована перевірка. Apple перевіряє функціональність і безпеку додатків, але систематична перевірка кожної заяви про конфіденційність у порівнянні з реальним мережевим поведінкою вимагала б моніторингу з’єднань кожного додатку.
Чому розробники помиляються
Це не завжди навмисна обман. Багато розробників самі не знають, що їхні додатки відправляють: SDK сторонніх розробників — найбільший винуватець. Розробник інтегрує SDK для звітів про збої, і це SDK дзвонить додому з даними пристрою, моделлю, використанням і іноді місцезнаходженням. Розробник можливо не знає повного обсягу збору даних SDK. Додаткові сервіси аналітики часто збирають більше, ніж налаштовано. Навіть простий подія "відвідування сторінки" може містити модель пристрою, версію ОС, роздільну здатність екрана, часовий пояс і мову. Форма конфіденційності складна і іноді двозначна.
Як перевірити, що роблять додатки насправді
Не довіряйте ярликам — перевіряйте поведінку. Існує кілька підходів: Моніторинг мережі — найнадійніший метод. Інструмент, такий як NetMute, спостерігає за кожним з’єднанням, яке встановлюють ваші додатки, і ідентифікує відомі трекери, аналітичні служби та рекламні мережі. Кожен додаток отримує рейтинг конфіденційності на основі фактичної поведінки — а не на основі самостійних заяв. Це принципово відрізняється від читання ярлика конфіденційності. Ярлики говорять вам, що заявляє розробник. Моніторинг мережі показує, що дійсно робить додаток. Якщо ці два не співпадають, дані мережі завжди точніші.
Що потрібно робити
1. Не ігноруйте ярлики конфіденційності повністю. Вони корисні як базовий індикатор. Додаток, який декларує обширне збирання даних, принаймні чесний. 2. Перевіряйте за допомогою моніторингу мережі. Використовуйте інструмент, такий як NetMute, щоб перевірити, що фактично надсилають ваші встановлені додатки. 3. Будьте скептичні щодо "дані не збираються". Це найчастіше неточний ярлик. Майже кожен додаток збирає дані через вбудовані SDK. 4. Перевіряйте рейтинги конфіденційності. App X-Ray від NetMute присвоює бали на основі реальної поведінки мережі. Додаток, який стверджує про чудову конфіденційність, але має низький бал, бреше. 5. Голосуйте своїми грошима. Якщо ви знайдете додаток з оманливими ярликами конфіденційності, перейдіть на альтернативу.