Jak sprawdzić, jakie dane naprawdę gromadzą aplikacje

Większość aplikacji gromadzi pewne informacje o użytkowniku i czasami rzeczywiście potrzebują ich do poprawnego działania. Jednak niektórzy producenci mogą nadużywać Twojego zaufania – czy można zabezpieczyć się przed szpiegowaniem?

Większość aplikacji gromadzi pewne informacje o użytkowniku. Czasami rzeczywiście potrzebują ich do poprawnego działania: na przykład aplikacja do nawigacji potrzebuje informacji o lokalizacji użytkownika, aby móc wyświetlać mu trasę. Z drugiej strony producenci aplikacji często używają informacji o nas w celu zarabiania lub ulepszania swojej usługi — oczywiście po uprzednim uzyskaniu zgody. Na przykład mogą gromadzić anonimowe statystyki, które pozwalają im identyfikować słabe punkty w ich aplikacjach oraz dowiedzieć się, jak je rozwiązać.

Jednak niektórzy producenci mogą nadużywać Twojego zaufania, gromadząc potajemnie informacje, które nie są związane z funkcjonalnością ich aplikacji, i sprzedając je innym firmom. Na szczęście możesz skorzystać z różnych serwisów, aby poznać prawdę.

AppCensus

Usługa AppCensus pomaga dowiedzieć się, jakie dane osobowe gromadzą aplikacje oraz gdzie je wysyłają. Wykorzystują one metodę analizy dynamicznej: aplikacja jest zainstalowana na urządzeniu mobilnym, uzyskuje wszystkie żądane uprawnienia i aktywnie działa przez określony czas. W tym czasie usługa obserwuje aplikację, sprawdzając, jakie dane wysyła i do kogo, a także czy są one szyfrowane.

Umożliwia to uzyskanie wglądu w prawdziwe zachowanie aplikacji. Jeśli nie czujesz się komfortowo w związku z tym, że serwis AppCensus uzyskuje dostęp do takich informacji, możesz wybrać inny, który nie będzie miał dostępu do takich informacji. Należy tu również wspomnieć, że informacje gromadzone przez AppCensus mogą okazać się niekompletne; każda aplikacja jest sprawdzana w ograniczonym okresie, a przecież niektóre funkcje aplikacji mogą potrzebować nieco więcej czasu na to, aby się aktywowały. Ponadto AppCensus analizuje wyłącznie aplikacje dla systemu Android — w dodatku tylko darmowe i dostępne publicznie.

Exodus Privacy

W przeciwieństwie do aplikacji AppCensus Exodus Privacy sprawdza same aplikacje, a nie ich zachowanie. Serwis analizuje uprawnienia, których żąda aplikacja, a także szuka wbudowanych narzędzi do śledzenia — czyli modułów innych firm przygotowanych w celu gromadzenia informacji o Tobie i Twoich działaniach. Producenci często wyposażają swoje aplikacje w narzędzia do śledzenia dostarczane przez sieci reklamowe, których zadaniem jest uzyskanie jak największej ilości informacji na Twój temat, aby wyświetlać Ci spersonalizowane reklamy. Aktualnie Exodus Privacy rozpoznaje ponad 200 rodzajów takich narzędzi śledzących.

A skoro mowa u uprawnieniach, Exodus Privacy analizuje je pod kątem stwarzanego przez nie zagrożenia. Jeśli aplikacja zażąda uprawnień, które mogą zostać wykorzystane do naruszenia Twojej prywatności lub złamania zabezpieczeń urządzenia, usługa poinformuje o tym użytkownika. Jeśli według Ciebie aplikacja nie potrzebuje jakich potencjalnie niebezpiecznych uprawnień, lepiej ich nie udzielaj. Zawsze możesz zmienić zdanie później.

Małe sekrety aplikacji

Oba serwisy są bardzo łatwe w użytkowaniu. Po wyszukaniu aplikacji po jej nazwie zobaczysz informacje na temat tego, jakie dane gromadzi i gdzie są one przesyłane. W przeciwieństwie do AppCensus aplikacja Exodus umożliwia użytkownikom nie tylko wybranie aplikacji z listy, ale także przeprowadzenie nowej analizy poprzez wskazanie do analizy aplikacji ze sklepu Google Play.

Do zaprezentowania działania usługi wybraliśmy aplikację do robienia zdjęć selfie, która została pobrana ze sklepu Google Play 5 milionów razy. Exodus Privacy pokazuje, że aplikacja ta używa aż czterech narzędzi reklamowych, które śledzą użytkownika, i żąda dostępu nie tylko do aparatu, ale także do lokalizacji urządzenia, co nie jest potrzebne jej do działania (teoretycznie lokalizacja urządzenia może być wykorzystywana w dobrym celu — do dodawania geotagów do robionych zdjęć) oraz danych o telefonie i połączeniach, co jest jej niepotrzebne do działania.

Analiza wykonana przez AppCensus tylko pogłębia nasze obawy: według tego serwisu wspomniana aplikacja nie tylko uzyskuje dostęp do lokalizacji Twojego telefonu czy tabletu, ale również wysyła je — wraz z numerem IMEI (unikatowy identyfikator sieci komórkowej urządzenia), adresem MAC (inny unikatowy kod, który może zostać użyty do zidentyfikowania Twojego urządzenia w internecie lub sieci lokalnej), numerem identyfikacyjnym systemu Android (kod przypisany do systemu podczas pierwszej konfiguracji) — na chiński adres IP. Niestety nie szyfruje tych informacji, a zatem o dobrych intencjach raczej nie ma mowy.

Dane, które bez wątpienia mogą zostać wykorzystane do śledzenia poruszania się urządzenia, są przesyłane do kogoś z Chin, a także mogą być przechwytywane przez każdą osobę podczas transferu. Nie wiadomo również, komu sprzedawane lub przekazywane są te dane. Co ciekawe, w swojej polityce prywatności producenci twierdzą, że nie gromadzą danych osobowych użytkownika oraz nie przekazują informacji o lokalizacji urządzenia dalej.

Czy można w jakiś sposób zabezpieczyć się przed szpiegowaniem?

Jak widać, popularna aplikacja ze zwykłą polityką prywatności może gromadzić i przesyłać dalej Twoje wrażliwe dane. Dlatego zalecamy traktowanie aplikacji mobilnych z ostrożnością:

  • Nie instaluj aplikacji, jeśli nie jest Ci potrzebna. Może Cię ona szpiegować, nawet jeśli nigdy jej nie otworzysz czy nie użyjesz. Jeśli już nie korzystasz z zainstalowanej aplikacji, usuń ją.
  • Zanim zainstalujesz nową aplikację, przeskanuj ją przy użyciu serwisu AppCensus i Exodus Privacy. Jeśli wynik Cię rozczaruje, poszukaj innej.
  • Pamiętaj, że nie musisz nadawać aplikacjom uprawnień, o które proszą. Jeśli nie wiesz na przykład, dlaczego aplikacja chce jakieś informacji, odmów jej dostępu. W tym poście opisaliśmy uprawnienia dla systemu Android; ponadto możesz z łatwością kontrolować aplikacje i ich uprawnienia, korzystając z naszego rozwiązania Kaspersky Total Security.
Porady