Российская поисковая система Yandex может передавать данные пользователей Android и iOS правительству из Москвы, пишет портал Mediastandard.ro со ссылкой на недавно опубликованный Financial Times анализ. Эта уязвимость относится к программному сервису, предоставляемому Yandex в Google Play и App Store.
В анализе Financial Times эксперты обнаружили, что SDK (комплект для разработки программного обеспечения), принадлежащий Yandex, собирает метаданные пользователей, которые хранятся на серверах в России. Это вызвало ряд опасений по поводу конфиденциальности хранимых данных и того, что Кремль может получить к ним доступ и использовать для отслеживания пользователей.
«Хотя это и возможно с теоретической точки зрения, на практике крайне сложно идентифицировать пользователей только на основе этой собранной информации. Yandex точно не может этого делать», — заявила изданию Financial Times российская компания.
Открытие было сделано исследователями из Me2B Alliance, неправительственной организации, которая занимается защитой конфиденциальности и онлайн-безопасностью. В ходе проверки мобильных приложений они обнаружили код, установленный почти в 52 000 приложений.
Исследователь написал в Twitter, что пользователи не могут проверить, содержит ли какое-либо из приложений, которые они используют, эту уязвимость, потому что «ни у Google, ни у Apple нет способа идентифицировать этот SDK перед загрузкой приложения».
Что такое SDK?
SDK – это набор инструментов, которые можно использовать для разработки программных сервисов для конкретной платформы. Они включают в себя инструменты, библиотеки кода, API (программные интерфейсы) и образцы кода, которые помогают программисту разрабатывать приложения.
SDK, который может облегчить кремлевским властям доступ к пользовательским данным, называется AppMetrica, и эксперты полагают, что он будет использовать разрешения, которые пользователи предоставляют приложениям, содержащим это программное обеспечение, для сбора метаданных, которые они передают на свои серверы в России.
Чаще всего этот SDK встречался в VPN-приложениях. Экспертами выявлено более 20 таких примеров, большинством из которых пользуются украинские пользователи.
«AppMetrica утверждает, что предоставляет адекватные услуги, при этом обменивается с Москвой инвазивными метаданными, которые можно использовать для отслеживания людей на веб-сайтах и в приложениях», — отметил исследователь для Financial Times.
Google уже начал собственное расследование сделанного исследовательской группой Me2B открытия и пообещал принять меры против приложений, нарушающих правила Play Store.
