Сегодня второе апреля и теперь уже можно серьёзно обсудить совсем нешуточное регулирование о предустановке отечественного ПО. Оно вступило в силу с 1-го апреля и уже начались публикации о том что производители предустанавливают приложения как неудаляемые (пример - Samsung).
Если говорить про устройства на базе iPhone и Android, то список включает 16 приложений и вот по ним всем мы и пройдёмся и разберемся что с ними так или не так. А нашим помощником будет база данных Exodus Privacy с результатами выявления внешних трекеров в этих приложениях.
Краткие выводы
Все коммерческие приложения обязательные к предустановке содержат трекеры используемые в рынке AdTech и передают сведения о действиях пользователей компаниям в других юрисдикциях.
Приложения передают сведения компания в юрисдикциях таких стран как: США, Германия, Индия, Израиль, Норвегия, Китай
Компании которым передаются сведения из приложения обязательных к предустановке включают: Google, Yahoo, Microsoft, Huawei, BitStadium, Facebook, InMobi, AppsFlyer, Schibsted, Upland, AOL, Unity, MixPanel, Adjust.
Регулятором в лице Минцифры и законодателями в лице Правительства РФ (инициатор закона) и ГД РФ (федеральный законодательный орган) не установлены требования по передачи персональных данных и отслеживания третьим сторонам и в другие юрисдикции.
В связи с тем что регулятор и законодатель обязали предустановку этих приложений на российские устройства и их установка не является добровольной, де-факто, они взяли на себя ответственность за передачу персональных данных граждан третьим лицам в юрисдикции других стран.
Я напомню наше предыдущее исследование по приватности государственных мобильных приложений, там есть пояснения о том что такое внешние трекеры и как всё это устроено и примеры слежки уже со стороны приложений созданных органами власти.
Приложения
Exodus Privacy даёт возможность узнать по каждому приложению список трекеров который найден статическим анализом и данные по разрешениям которые это приложение запрашивает. Анализ разрешений для другого раза, а пока вот список трекеров по каждому приложению.
Яндекс
Яндекс.Браузер
Код приложения для Android: com.yandex.browser (Google Play, Exodus Privacy).
Версия 21.2.1.108 на 21 марта 2021 года включает следующие трекеры:
AppMetrica (Яндекс, Россия)
Facebook Ads (Facebook, США)
Facebook Login (Facebook, США)
Facebook Share (Facebook, США)
Flurry (Yahoo, США)
InMobi (InMobi, Индия)
Yandex Ad (Яндекс, Россия)
Поисковик «Яндекс»
Код приложения для Android: ru.yandex.searchplugin (Google Play, Exodus Privacy).
Версия 20.113 на 12 марта 2021 года включает следующие трекеры:
AppMetrica (Яндекс, Россия)
Facebook Ads (Facebook, США)
Facebook Login (Facebook, США)
Facebook Share (Facebook, США)
Flurry (Yahoo, США)
InMobi (InMobi, Индия)
Yandex Ad (Яндекс, Россия)
«Яндекс.Карты»
Код приложения для Android: ru.yandex.searchplugin (Google Play, Exodus Privacy).
Версия 10.3 на 20 марта 2021 года включает следующие трекеры:
AppMetrica (Яндекс, Россия)
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Facebook Places (Facebook, США)
Facebook Share (Facebook, США)
Google Crashlytics (Google, США)
Schibsted (Schibsted, Норвегия)
«Яндекс.Диск»
Код приложения для Android: ru.yandex.disk (Google Play, Exodus Privacy).
Версия 4.79.0 на 12 марта 2021 года включает следующие трекеры:
AppMetrica (Яндекс, Россия)
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Localytics (Upland, США)
Facebook Share (Facebook, США)
Yandex Ad (Яндекс, Россия)
Mail.ru
«Почта Mail.ru»
Код приложения для Android: ru.mail.mailapp (Google Play, Exodus Privacy).
Версия @7F1100DD на 12 марта 2021 года включает следующие трекеры:
AppsFlyer (AppsFlyer, Израиль)
Facebook Ads (Facebook, США)
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Facebook Places (Facebook, США)
Facebook Share (Facebook, США)
Flurry (Yahoo, США)
Google AdMob (Google, США)
Google Analytics (Google, США)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
Google Tag Manager (Google, США)
HockeyApp (Microsoft/Bit Stadium, США/Германия)
InMobi (InMobi, Индия)
Microsoft Visual Studio App Center Analytics (Microsoft, США)
Microsoft Visual Studio App Center Crashes (Microsoft, США)
Millennial Media (AOL, США)
myTarget (Mail.ru, Россия)
myTracker (Mail.ru, Россия)
VKontakte SDK (Mail.ru, Россия)
ICQ
Код приложения для Android: com.icq.mobile.client (Google Play, Exodus Privacy).
Версия 9.21(824744) на 14 марта 2021 года включает следующие трекеры:
AppsFlyer (AppsFlyer, Израиль)
Google Firebase Analytics (Google, США)
HockeyApp (Microsoft/Bit Stadium, США/Германия)
InMobi (InMobi, Индия)
Microsoft Visual Studio App Center Analytics (Microsoft, США)
Microsoft Visual Studio App Center Crashes (Microsoft, США)
myTracker (Mail.ru, Россия)
Голосовой ассистент «Маруся»
Код приложения для Android: ru.mail.search.electroscope (Google Play, Exodus Privacy).
Версия 1.39.1 на 2 апреля 2021 года включает следующие трекеры:
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
Microsoft Visual Studio App Center Crashes (Microsoft, США)
myTarget (Mail.ru, Россия)
myTracker (Mail.ru, Россия)
VKontakte SDK (Mail.ru, Россия)
«Новости Mail.ru»
Код приложения для Android: ru.mail.mailnews (Google Play, Exodus Privacy).
Версия 3.8.1.11337 на 2 апреля 2021 года включает следующие трекеры:
AppsFlyer (AppsFlyer, Израиль)
Facebook Ads (Facebook, США)
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Facebook Notifications (Facebook, США)
Facebook Places (Facebook, США)
Facebook Share (Facebook, США)
Flurry (Yahoo, США)
Google Analytics (Google, США)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
Google Tag Manager (Google, США)
HockeyApp (Microsoft/Bit Stadium, США/Германия)
myTarget (Mail.ru, Россия)
myTracker (Mail.ru, Россия)
OK Live
Код приложения для Android: ru.ok.live (Google Play, Exodus Privacy).
Версия1.6.20 на 2 апреля 2021 года включает следующие трекеры:
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Google Analytics (Google, США)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
myTarget (Mail.ru, Россия)
myTracker (Mail.ru, Россия)
VKontakte SDK (Mail.ru, Россия)
«ВКонтакте»
Код приложения для Android: com.vkontakte.android (Google Play, Exodus Privacy).
Версия 6.29.1 на 23 марта 2021 года включает следующие трекеры:
AppsFlyer (AppsFlyer, Израиль)
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Facebook Share (Facebook, США)
Google Analytics (Google, США)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
myTarget (Mail.ru, Россия)
myTracker (Mail.ru, Россия)
VKontakte SDK (Mail.ru, Россия)
«Одноклассники»
Код приложения для Android: ru.ok.android (Google Play, Exodus Privacy).
Версия 21.3.16 на 23 марта 2021 года включает следующие трекеры:
AppsFlyer (AppsFlyer, Израиль)
Facebook Ads (Facebook, США)
Facebook Analytics (Facebook, США)
Facebook Login (Facebook, США)
Facebook Share (Facebook, США)
Google AdMob (Google, США)
Google Analytics (Google, США)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
Google Tag Manager (Google, США)
myTarget (Mail.ru, Россия)
myTracker (Mail.ru, Россия)
Unity3d Ads (Unity, США)
VKontakte SDK (Mail.ru, Россия)
Yandex Ad (Яндекс, Россия)
Государственные
MirPay (Android) — сервис для бесконтактной оплаты от платёжной системы «Мир»
Код приложения для Android: ru.nspk.mirpay (Google Play, Exodus Privacy).
Версия 1.6.8.42 на 12марта 2021 года не включает ни одного внешнего трекера.
«Госуслуги»
Код приложения для Android: ru.rostel (Google Play, Exodus Privacy).
Версия 3.9.95.2132 на 12 марта 2021 года включает следующие трекеры:
AppMetrica (Яндекс, Россия)
Google AdMob (Google, США)
Yandex Ad (Яндекс, Россия)
Applist.ru – для доступа к социально значимым приложениям.
Код приложения для Android: com.minsvyaz.applist (Google Play, Exodus Privacy).
Версия 1.0.1 на 2 апреля 2021 года включает следующие трекеры:
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
Остальные
«МойОфис Документы»
Код приложения для Android: com.ncloudtech.cloudoffice (Google Play, Exodus Privacy).
Версия 2018.01.01 на 13 марта 2021 года включает следующие трекеры:
Adjust (Adjust, Германия)
Facebook Login (Facebook, США)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
MixPanel (MixPanel, США)
Kaspersky Internet Security (Android)
Код приложения для Android: com.kms.free (Google Play, Exodus Privacy).
Версия 11.65.4.5349 на 1 апреля 2021 года включает следующие трекеры:
AppsFlyer (AppsFlyer, Израиль)
Google CrashLytics (Google, США)
Google Firebase Analytics (Google, США)
Huawei Mobile Services (HMS) Core (Huawei, Китай)
myTracker (Mail.ru, Россия)
Что дальше?
Честно говоря вся ситуация с предустановкой мобильного ПО порочна. Российские чёртовы монополисты "национальные чемпионы" мало отличаются от других цифровых компаний в мире по масштабам слежки за пользователями. А получается что государство руками законодателей и регулятора ещё и даёт им мощный допинг без какого-либо дополнительного ограничения. Хорошо ли это? Лично я считаю что однозначно нет.
paul_155
Всё это конечно печально, но регулировать это не получится. Сам такой (ставлю трекеры).
mihmig
А как Вы их используете? Ну, какую пользу извлекаете?
paul_155
Маркетологи извлекают. Польза есть. Прошлый год прошли довольно ровно.
mihmig
Слишком расплывчатый ответ.
Вы можете у них получить чёткие ответы на вопросы:
1. Как именно обрабатывается телеметрия, какие данные извлекаются, как конкретно они используются?
2. Что будет, если телеметрии не будет? (дайте догадаюсь — маркетологов уволят за ненадобностью)
paul_155
Проблемка в том, что маркетологи мне платят зарплату. Если б понимал как они обрабатывают, давно сам бы организовал свой бизнес. Меняется формулировка названия товара, составляются подборки, даже на количество колонок информации влияет.
Ark1774
Это уже коммерческая тайна.
Areso
Разработчик. Пользуюсь метриками.
Смотрю почти каждую сессию длиной более 1 минуты.
С интересом наблюдаю, насколько то, что мне кажется очевидным, нифига не очевидно многим людям.
Исправляю (иногда), завожу задачи (часто), забиваю (еще чаще).
Также статистика позволяет глянуть, откуда и на каких языках говорят мои пользователи.
Код, который выложен на всеобщее обозрение, включает в себя блоки подгрузок метрик. Т.е. это не секрет для тех, кто прошёл в репо проекта.
Кроме того, там прямо в комментах выделено, мол, можете блокировать или удалить этот раздел :)
mihmig
Что ж, Ваши доводы выглядят убедительно.
Но было б неплохо, если бы при установке приложение явно говорило —
«Можно я буду собирать обезличенную статистику и отправлять её на следующие серверы (страны)?»
И «галочка» по умолчанию снята.
Areso
Для меня вся статистика обезличена (кроме айпишников, но, сами понимаете, айпишники в любом случае мне видны, когда делается запрос к бэкэнду). Другой момент, что для Яндекса/Гугла (если они прошли аутенфикацию) — точно нет :)
Schakal
Так начните с себя, не ставьте их. Станет чуть менее печально. А там, может, и другие подтянутся.
paul_155
Всё это началось, когда наши предки слезли с дерева и называется словом эволюция. Идёт борьба за источники питания — пользователей. Если я откажусь — вымру как неандерталец. Другие только обрадуются.
Schakal
Imho есть гораздо более действенный способ борьбы за пользователей — качество продукта. И вот когда Вы сможете "как на духу" сказать, что "в нашем приложении никакой слежки нет, так как нам это не надо", фраза "другие только обрадуются" потеряет свою актуальность. Вас будут любить и беречь.
paul_155
Ага, а как понять, что такое качество? Если пользователи чаще кликают на зелёную кнопку, чем на красную. Может потому, что зелёная качественнее? Нет задачи понравиться, есть задача заработать и тут пока все средства хороши. Пользователь тоже в плюсе. Раньше, чтоб сравнить цены приходилось побегать. А сейчас попробуй подыми выше конкурента. Никакое качество не спасёт.
Schakal
"и тут пока все средства хороши" — у нас слишком разный взгляд на вещи… Понял, отстал )
Ra-Jah
Не совсем, можно этот процесс затормозить, чтобы не внуки оказались в Микощи, а скажем пра-правнуки хотя бы или вообще не оказались. Главное выиграть время и адаптироваться к надвигающимся технологиям, чтобы не очутиться в зоне цифрового фашизма, а то ведь всем кажется, что, если навести твердый порядок жесткой рукой, то всем нам станет лучше, комфортнее и безопаснее. На самом деле эта комфортность очень быстро пройдет, потому что эта жесткая рука начнет нас очень быстро душить.
paul_155
Скорее программисты перестанут понимать как оно работает и само всё загнётся.
adson
Как тонко. Отличная цитата, но сейчас это на грани экстремизма
vikarti
Я вот тоже (в рамках небольшой подработки (iOS/Android) за символические деньги) ставлю
Amlitude бесплатную — возможность анализа последовательности действий пользователей если "опять ничего не работает". Доступ только у меня.
Яндекс.AppMetrica — аналитика общая + какой никакой анализ статистики. Доступ есть у и представителей заказчика если так можно сказать. Полезно знать например статистику по используемым версиям iOS/Android(в том числе чтобы решать — андроид 4.4 можно стоит уже не поддерживать или нет?) + по устройствам. (AppMetrica в данном случае удобнее Amplitude).
По основной работе — конкретные бизнес-подразделения решают нужна ли в соответствующем разделе гуглоаналитика (в том числе и в том плане — а надо ли дергать разработчиков для ее добавления) и как они будут ее использовать. Гуглоаналитика — потому что стандарт. О пользователях при этом и так очень много всего известно и без специальной аналитики в приложении.