Robocall-блокирующие приложения обещают избавить вашу жизнь от поддельных и спам-звонков. Но так ли они надежны, как утверждают?
Один исследователь безопасности сказал, что многие из этих приложений могут нарушить вашу конфиденциальность, как только они будут открыты.
Дэн Хастингс, старший консультант по безопасности в кибербезопасности фирмы NCC Group, проанализировал некоторые из самых популярных приложений для блокировки robocall, включая TrapCall, Truecaller и Hiya, и обнаружил вопиющие нарушения конфиденциальности.
Robocalls становятся все хуже, некоторые получают десятки звонков в день. Эти автоматические звонки требуют, чтобы вы заплатили IRS штраф, который вы не должны или притворяетесь технической поддержкой. Они часто пытаются обмануть вас, чтобы забрать телефон, подделав свой номер, чтобы выглядеть как местный абонент. Но поскольку сотовые сети пытаются сократить спам, многие обращаются к сторонним приложениям для фильтрации входящих вызовов.
Но многие из этих приложений, сказал Гастингс, отправляют данные пользователя или устройства сторонним компаниям по анализу данных, часто для монетизации вашей информации и без вашего явного согласия, вместо этого скрывая детали в своих политиках конфиденциальности.
Одно приложение, TrapCall, отправило номера телефонов пользователей в стороннюю аналитическую фирму AppsFlyer, не сообщая пользователям ни в приложении, ни в политике конфиденциальности.
Он также обнаружил, что Truecaller и Hiya загрузили данные устройства, тип устройства, модель и версию программного обеспечения, среди прочего, прежде, чем пользователь мог принять их политику конфиденциальности. Эти приложения, сказал Гастингс, нарушают рекомендации Apple по использованию и совместному использованию данных, которые предусматривают, что разработчики приложений сначала получают разрешение перед использованием или отправкой данных третьим лицам.
Многие другие приложения не намного лучше. Несколько других приложений, которые Гастингс тестировал, немедленно отправляли данные в Facebook, как только приложение загрузится.
“Не имея технической подготовки, большинство конечных пользователей не могут оценить, какие данные на самом деле собираются и отправляются третьим лицам”, – сказал Гастингс. “Политика конфиденциальности – это единственный способ, которым нетехнический пользователь может оценить, какие данные собираются о них при использовании приложения.”
Ни одна из компаний не реагировала на электронные письма от Hastings, предупреждающие о проблемах конфиденциальности, сказал он. Это было только после того, как он связался с Apple, когда TrapCall позже обновил свою политику конфиденциальности.
Но он зарезервировал некоторую критику для Apple, отметив, что Политика конфиденциальности приложений “не контролируется”, как он обнаружил с Truecaller и Hiya.
“Политика конфиденциальности отличная, но приложения должны лучше соблюдать их”, – сказал Гастингс.
“Если большинство людей нашли время, чтобы прочитать и попытаться понять политику конфиденциальности для всех приложений, которые они используют (и в состоянии понять их!), они могут быть удивлены, увидев, сколько эти приложения собирают”, – сказал он. “До этого дня конечным пользователям придется полагаться на исследователей безопасности, выполняющих ручные глубокие погружения в то, как приложения обрабатывают свою личную информацию на практике.”
Представитель Truecaller Манан Шах подтвердил, что он отправлял данные, когда приложение было открыто, но позже представил исправление, которое теперь живет. ” Мы соблюдаем руководящие принципы Apple”, – сказал пресс-секретарь.
Hiya признал, что он отправляет некоторые данные устройства сторонним службам при открытии приложения, но утверждает, что он не собирает личную информацию. “В настоящее время мы работаем над дальнейшим усилением нашей конфиденциальности, повторно отправляя наши приложения, чтобы даже эта основная информация об устройстве не была передана до явного согласия пользователя”, – говорится в заявлении.
Пресс-секретарь TrapCall на момент публикации не дал никаких комментариев.