Было обнаружено, что 18000 приложений Android с десятками или сотнями миллионов установок в Google Play Store нарушают правила политики рекламных идентификаторов Google Play Store , собирая постоянные идентификаторы устройств, такие как серийные номера, IMEI, MAC-адреса WiFi, серийные номера SIM-карт и отправка их в домены, связанные с мобильной рекламой, вместе с рекламными идентификаторами.
Проблема здесь в том, что, хотя некоторые компании, стоящие за этими приложениями, скорее всего, скажут, что на самом деле они не используют постоянные идентификаторы устройств для таргетинга рекламы, они по-прежнему нарушают правила политики идентификаторов рекламы в Google Play Store .
Отправка не сбрасываемых идентификаторов, помимо идентификатора объявления, вызывает особую тревогу, учитывая, что она эффективно удаляет «сохраняющие конфиденциальность свойства идентификатора рекламы», как объясняется в отчете, опубликованном AppCensus.
Чтобы дополнительно проиллюстрировать, почему это проблема, Серж Эгельман из Appcensus говорит, что «в 2017 году главной новостью стало то, что приложение Uber нарушило правила конфиденциальности в iOS App Store, собирая неизменяемые постоянные идентификаторы, которые нельзя сбрасывать. Тим Кук лично угрожал получить приложение Uber снято с магазина “.
18k приложений передают идентификатор рекламы вместе с постоянными идентификаторами
AppCensus – это организация, базирующаяся в Беркли, Калифорния, и созданная исследователями со всего мира, имеющими опыт в широком спектре областей, от сетей и конфиденциальности до безопасности и удобства использования. Проект поддерживается «грантами Национального научного фонда, Министерства внутренней безопасности и Лаборатории прозрачности данных».
Подчеркивая это поведение, AppCensus показывает, что, хотя пользователям предлагается возможность сбросить рекламный идентификатор, это не сразу приведет к получению новой «идентичности», потому что разработчики приложений также могут использовать множество других идентификаторов для отслеживания и нацеливание идёт.
Как подробно рассказал Эгельман:
Все домены, получающие данные в крайнем правом столбце, являются либо рекламными сетями, либо компаниями, иным образом участвующими в отслеживании взаимодействия пользователей с рекламой (т. Е., Используя язык Google, «в любых рекламных целях»). Фактически, на сегодняшний день существует более 18 тысяч различных приложений, передающих Ad ID вместе с другими постоянными идентификаторами.
Google еще не ответил на отчет, отправленный AppCensus в сентябре 2018 года, содержащий список из 17000 приложений Android, которые отправляют постоянные идентификаторы вместе с идентификаторами рекламы в различные рекламные сети, а также приложил список из 30 доменов, связанных с мобильной рекламой, где были указаны различные идентификаторы. послан.
Изучая сетевые пакеты, передаваемые между приложениями и этими 30 доменами, AppCensus заметил, что «они либо используются для размещения рекламы в приложениях, либо для отслеживания взаимодействия пользователей с рекламой».
Google нужно больше внимания уделять конфиденциальности
Однако в заявлении, отправленном в CNET , представитель Google сказал: «Мы очень серьезно относимся к этим проблемам. Строго запрещено комбинировать идентификатор рекламы с идентификаторами устройств с целью персонализации рекламы . Мы постоянно проверяем приложения, в том числе перечисленные в отчет исследователя – и примет меры, если они не будут соответствовать нашим правилам “. [курсив мой]
Кроме того, как показал Google в своем ежегодном обзоре Google Play Store за 2018 год , компания отклонила на 55% больше заявок на приложения для Android, чем в 2017 году, а также увеличила частоту приостановки приложений примерно на 66% по сравнению с прошлым годом.
Хотя Google также заявил в ежегодном обзоре, что в течение 2018 года они «отклонили или удалили десятки тысяч приложений, которые не соответствовали политике Play в отношении пользовательских данных и конфиденциальности», похоже, что несколько других тысяч приложений могли просочиться. в Google Play Store.