Aplikacje mobilne mają na Ciebie oko

Aplikacje mobilne mogą śledzić Twoją lokalizację i sprzedawać te dane innym firmom. Czy możesz coś z tym zrobić?

Niektóre aplikacje mobilne śledzą Twoją lokalizację — i potajemnie przekazują ją serwisom, które następnie sprzedają takie dane. Niemal na pewno korzystasz jednej z takich aplikacji i nawet o tym nie wiesz. Po czym poznać, które aplikacje mogą być problematyczne — i czy możesz coś z tym zrobić?

Które aplikacje mobilne Cię śledzą?

Pewnego dnia na Twitterze udostępniona została wizualizacja pokazująca, jak osoby przebywające wiosną na tylko jednej plaży — na Florydzie — rozniosły koronawirusa na całe Stany Zjednoczone. Wówczas dyrektor zespołu GReAT w Kaspersky, Costin Raiu, pomyślał nie o koronawirusie, ale o aplikacjach, które śledzą lokalizację swoich użytkowników. We wspomnianym raporcie użyto badań obejmujących dane lokalizacyjne uzyskane od firmy X-Mode. Skąd miała ona te dane?

Firma X-Mode dystrybuuje zestawy SDK, które producenci komponentów mogą umieszczać w swoich aplikacjach. W zależności od tego, ile osób używa danej aplikacji zawierającej SDK, firma ta płaci producentom co miesiąc stosowną kwotę. W zamian wspomniany dodatek gromadzi dane na temat lokalizacji, a także część danych z czujników smartfonów (np. żyroskopu) — i wysyła je na serwery należące do firmy X-Mode, która następnie sprzedaje je, rzekomo zanonimizowane, wszystkim chętnym.

X-Mode twierdzi, że SDK nie ma dużego wpływu na naładowanie baterii, gdyż zużywa go w zaledwie 1%–3%, zatem użytkownicy nawet nie zauważą obecności takiego pakietu i nie będą nim poirytowani. Ponadto według firmy X-Mode gromadzenie danych w ten sposób jest „zdecydowanie legalne”, a SDK działa w zgodzie z RODO.

Ile jest takich aplikacji śledzących?

Raiu zadał sobie pytanie: „Czy ja również jestem śledzony w ten sposób”? Najprostszym sposobem sprawdzenia tego było poznanie adresów serwerów kontroli, których używały śledzące zestawy SDK, i monitorowanie wychodzącego ruchu sieciowego na urządzeniu. Jeśli aplikacja na jego smartfonie komunikowała się z co najmniej jednym z takich serwerów, mogłoby to oznaczać, że był śledzony. Raiu musiał więc poznać adres serwera. Jego badanie było tematem przewodnim prezentacji, którą przedstawił podczas tegorocznej konferencji SAS@home.

Po dokonaniu inżynierii wstecznej, ustaleniu pewnych domysłów, zastosowaniu deszyfrowania i podejmowania działań metodą prób i błędów, zidentyfikował poszukiwane serwery i napisał fragment kodu, który pomógł mu wykrywać, gdy aplikacja próbowała uzyskać do nich dostęp. Badacz odkrył również, że jeśli aplikacja miała określony wiersz w kodzie, używała śledzącego zestawu SDK.

Raiu znalazł ponad 240 różnych aplikacji, które zawierały zestaw SDK. Łącznie aplikacje te zostały zainstalowane ponad 500 mln razy. Jeśli założymy, że przeciętny użytkownik zainstalował taką aplikację tylko raz, oznaczałoby to, że około 1 na 16 osób na całym świecie ma na swoim urządzeniu zainstalowaną aplikację śledzącą. To sporo. Szansa, że Ty też ją masz, wynosi zatem 1:16.

Co więcej, X-Mode to zaledwie jedna z wielu firm w tej branży.

Ponadto każda aplikacja może zawierać więcej niż jeden zestaw SDK. Na przykład gdy Raiu analizował aplikację, która zawierała wspomniany SDK firmy X-Mode, odkrył pięć innych komponentów od innych firm, które również gromadziły dane o lokalizacji. Oczywiście producent próbował wycisnąć jak najwięcej pieniędzy z aplikacji — a warto wspomnieć, że nie była ona darmowa. Jak widać, niestety zapłata za aplikację nie oznacza, że jej autorzy nie będą próbować zarobić jeszcze więcej pieniędzy.

Co możesz zrobić, aby unikać śledzenia?

Gdy pobierasz aplikację, zwyczajnie nie wiesz, czy zawiera ona opisywane komponenty śledzące lokalizację. Może ona mieć sensowne argumenty, aby prosić o dostęp do lokalizacji — w końcu wiele z nich opiera na niej swoje działanie. Jednak taka aplikacja może równocześnie sprzedawać dane o Twojej lokalizacji.

Aby pomóc użytkownikom, którzy są obyci w kwestiach technicznych, w zminimalizowaniu tego ryzyka, Raiu przygotował listę serwerów kontroli, których używają śledzące zestawy SDK. Można je znaleźć na jego prywatnej stronie w serwisie GitHub. W wykryciu ruchu w sieci domowej i wskazaniu aplikacji, które próbują kontaktować się z takimi serwerami, pomóc może komputer RaspberryPi z zainstalowanym oprogramowaniem Pi-hole i WireGuard.

Większość ludzi z pewnością nie skorzysta z powyższej porady; mimo to warto choć trochę zmniejszyć ryzyko bycia śledzonym przez takie aplikacje i serwisy. W tym celu warto ograniczyć aplikacjom uprawnienia:

  • Sprawdź, które aplikacje mogą używać Twojej lokalizacji. Więcej informacji na temat tego, jak zrobić to w systemie Android 8, znajdziesz tutaj; najnowsza wersja tego systemu nie różni się znacząco. Z kolei informacje, jak zatrzymać śledzenie lokalizacji w systemie iOS, znajdziesz tutaj. Jeśli uznasz, że dana aplikacja tak naprawdę nie musi znać Twojej lokalizacji, nie wahaj się jej cofnąć tego uprawnienia.
  • Możesz również skorzystać z opcji używania Twojej lokalizacji przez aplikacje tylko podczas korzystania z nich. Większość aplikacji nie musi znać Twojego miejsca przebywania, gdy działają w tle, dzięki czemu takie ustawienie może tu być rozwiązaniem idealnym.
  • Usuń aplikacje, których już nie używasz. Jeśli jakiś program nie był otwierany np. przez miesiąc, prawdopodobnie można założyć, że w ogóle go nie potrzebujesz; a w razie potrzeby zawsze można zainstalować go ponownie.
  • Pamiętaj, że komponenty śledzące lokalizację nie są najgorszym obliczem aplikacji, nawet tych legalnych, dostępnych w oficjalnych sklepach. Niektóre z nich mogą być wręcz szkodliwe, a inne mogą zmienić swoją naturę, gdy zostaną sprzedanie lub zaktualizowane. Z tego względu zalecamy korzystanie z niezawodnego rozwiązania zabezpieczającego, np. Kaspersky Internet Security for Android, które zapewnia ochronę przed wszelkiego rodzaju zagrożeniami mobilnymi.

 

Porady