Пользователи смартфонов нередко устанавливают приложения, блокирующие рекламу и защищающие их данные, но при этом не ждут от таких программ подвоха. Как оказалось, многим из них вовсе не стоит доверять.
Ресурс BuzzFeedNews провел расследование и обнаружил, что ряд популярных блокировщиков рекламы и VPN-сервисов тесно связан с аналитической компанией Sensor Tower. Эта фирма, а точнее созданная ей платформа, представляет многим разработчикам и прочим клиентам данные об аудитории и популярности их продуктов. Тем не менее, эта информация должна откуда-то браться и журналисты выявили один из наиболее вероятных путей.
Оказалось, что с 2015 года Sensor Tower тем или иным образом владеет более чем двумя десятками приложений, среди которых Free and Unlimited VPN, Luna VPN, Mobile Data, and Adblock Focus. Эти четыре программы до недавнего времени были доступны в магазинах App Store и Play Market для устройств под управлением операционных систем iOS и Android соответственно. Полный список подозрительных приложений размещен в Twitter-аккаунте издания.
NEW: Popular VPN And ad-blocking apps are secretly harvesting user data. I found the apps are actually owned by app analytics platform Sensor Data, which does not disclose its connection to them: https://t.co/d1nUgEOowp
— Craig Silverman (@CraigSilverman) March 9, 2020
Примечательно, что связь между аналитической фирмой и этими программами всячески скрывалась, а обнаружена была практически случайно. Автор расследования озаботился вопросом большого количества требуемых разрешений одного из приложений, изучил его код и нашел в нем упоминание авторства. Затем он отследил автора на портале для разработчиков GitHub и в его профиле увидел место работы — Sensor Tower.
В самой компании не отрицают свою связь с программами, однако заверяют, что никаких личных данных не собирается. Тем не менее, приложения из списка требуют установки корневого сертификата, что представляет сторонним сервисами практически неограниченный доступ к пользовательскому трафику. Представители Sensor Tower также не смогли рассказать изданию о том, что именно за параметры в их интересах отслеживают указанные программы.
Большинство подозрительных приложений уже удалены из фирменных магазинов компаниями Apple и Google, а по остальным проводиться дополнительное внутреннее расследование. Стоит отметить, что среди специалистов по кибербезопасности существует негласный стандарт для такого рода сервисов — он должен быть платным. В этом случае создателям программы не придется искать сторонние способы заработка для поддержания необходимой программно-аппаратной инфраструктуры. Подобный подход использует небезызвестная компания Mozilla, в скором времени планирующая запустить свой VPN.
Оригинал earth-chronicles.ru