Google копирует фотографии пользователей без их согласия

«Никакого специального разрешения, необходимого для того, чтобы приложение читало изображения, нет, — говорит директор по технологии компании Lookout, специализирующейся на ПО по безопасности. — Это основано на результатах исследования устройств компанией Lookout».

Технический директор Loupe Ральф Гути продемонстрировал соответствующий эксперимент на одном из тестовых приложений. При установке программа запрашивала лишь возможность доступа к интернету, а когда приложение запускалось, оно само переходило к библиотеке с фотографиями, находило последние изображения и публиковало их на общедоступном сайте обмена фотографий.

«Фотографии — это одни из самых личных данных. Я действительно был шокирован», — цитирует его издание.

The New York Times не уточняет, действительно ли приложения используют эту схему на практике. Корпорация Google признала, что такая возможность и правда существует, пообещав рассмотреть возможность изменения настроек доступа. По словам представителя интернет-компании, отсутствие ограничений на доступ к фотографиям связано с предыдущей моделью хранения данных в Android-устройствах. Первые смартфоны на базе ОС от Google могли сохранять изображения на съемной карте памяти, что усложняло доступ к картинке.

Например, пользователь мог предоставить приложению доступ для получения фотографий с одной карты, но не разрешал доступ к фотографиям с той, которую вставил в устройство в другой день.

«Мы разработали систему, похожую на те, которые используются в других компьютерных платформах типа Windows или Mac OS, — цитирует его NYT. — Тогда изображения хранились на картах SD, их было легко вытащить из телефона и вставить в компьютер для просмотра и переноса изображений. Когда же компьютеры и таблетки стали производиться со встроенной памятью, которую нельзя извлечь, мы еще раз взглянули на ситуацию и приняли решение добавить разрешение, которое позволяло бы приложениям запрашивать доступ к изображениям».

Объяснение Google «удивит большинство пользователей, поскольку они вряд ли знают о таких различиях в системе хранения данных телефона», говорит исследователь, специализирующийся на неприкосновенности частной жизни и безопасности Ашкан Солтан. Для них подобное разрешение Google будет «сродни покупке автомобиля, у которого замки только на дверях, но не на багажнике», — объясняет он.

«Мы удаляем из Android Market приложения, которые некорректно получают доступ к данным», — заверяют в Google. 

Пользователи могут оставлять отзывы о подозрительной деятельности приложений, и компания рассматривает такие заявки. Google также имеет собственную систему безопасности Bouncer, которая с помощью моделирования различных ситуаций проверяет, могут ли приложения получать, например, персональные данные пользователей.

Но Android Market позволяет любому разработчику представить свое приложение. Это означает, что, если вредоносная программа обойдет систему автоматической проверки Google, она в конечном итоге может появиться на многих устройствах.

«Обычно пользователи считают, что при разработке приложений создатели постоянно уделяют внимание обработке персональных данных, — говорит Солтани. — Однако такое предположение является ложным».

В середине февраля конгресс США уже высказывал озабоченность по поводу защиты информации пользователей. Внимание законодателей привлекло сообщение блогера Дастина Кертиса, который отмечал, что среди разработчиков приложений для iOs от Apple бытует мнение, что им можно без разрешения пользователей получать доступ к их адресным книгам и сохранять информацию на будущее. Так, приложение от Path Inc. без согласия пользователей в течение 18 месяцев сохраняло информацию из их адресных книг, а Twitter получал на свои серверы все контакты из адресной книги, когда пользователь нажимал в Twitter кнопку «найти друзей». Тогда Apple пообещала доработать операционную систему своих смартфонов iPhone, чтобы обеспечить пользователям больший контроль доступа к адресной книге со стороны приложений.

Позже выяснилось, что через бесплатные приложения для смартфонов компании могут отслеживать текстовые сообщения пользователей, перехватывать звонки, отслеживать местоположение, управлять видео и фотографиями.

Объяснение Google о доступе к фотографиям противоречит ранее заявленным требованиям Android по обработке данных, отмечают эксперты.

На прошлой неделе представитель Google Рэндэл Сафара говорил о строгих правилах Google в этом вопросе: «С самого начала Android имел передовую систему допуска, которая информировала потребителей, к каким данным приложение может получить доступ, и запрашивала его одобрения перед установкой». В руководстве по безопасности для Android-разработчиков говорится: «Ключевым моментом в разработке системы безопасности Android было то, что ни одно приложение по умолчанию не имеет разрешения на выполнение действий, которые могут отрицательно повлиять на другие приложения, операционную систему или пользователя». В правилах отмечается, что это касается «чтения и записи личных данных пользователя».