
Я регулярно рассказываю знакомым (особенно детям знакомых), что бездумно давать разрешения приложениям — даже скачанным из официального магазина — это верх беззаботности. На резонный возглас, мол, да кому нужны мои данные, я обычно размахиваю руками и привожу примеры про утечки, слитые базы и взломанные аккаунты.
Результат немного предсказуем: вежливое кивание и разрешение вообще всего. Я прекрасно понимаю, что эти мои абстрактные «утечки данных» не пугают. Поэтому решил собрать в одном месте несколько конкретных случаев, когда одно нажатие на «разрешить» выходило боком. Теперь, когда кто‑то спросит: «кому нужны мои контакты» — я просто дам ему ссылку на эту статью.
Предоставьте доступ к контактам
В 2018 году в Африке запустилось мобильное приложение для микрозаймов OKash. Сервис был разработан компанией OPay, которая частично принадлежит Opera Software — да‑да, тому самому разработчику браузера Opera, который к моменту запуска финтех‑приложения четыре года занимал второе место по популярности в Африке. Поэтому владельцы решили не останавливаться на браузере.
Там вообще была интересная экосистема приложений и структура владения: включая китайского миллиардера Яхуэй Чжоу, собравшего в итоге 69% акций Opera Limited и активно вкладывающегося в технологический бизнес. Но сейчас мы про финансы и про Okash.

Итак, для Африки, где проникновение банковских услуг было довольно низким, Opay (наряду с еще несколькими финансовыми сервисами) совершил мини‑революцию — позволил пользователям переводить деньги по номеру телефона, оплачивать счета и получать небольшие займы. И все это без заведения традиционных банковских счетов. Популярность у сервиса была бешеной, в частности, в Нигерии к 2020 г. OPay проводил через себя более половины всех транзакций.
Однако в разработанном ими приложении OKash есть ма‑а-аленький такой нюанс: при установке оно запрашивает доступ к контактам телефона, без одобрения которого кредит просто не выдается. А один из пунктов пользовательского соглашения гласит:
«В случае если мы не сможем связаться с вами или вашим контактным лицом на случай чрезвычайной ситуации, вы также прямо разрешаете нам связаться со всеми лицами из вашего списка контактов».
Если пользователь задерживает платеж, приложение начинает рассылать сообщения с уведомлением о долге всем контактам из телефонной книги, стараясь прежде всего попасть в родственников и коллег. Цель очевидна: публичное давление и стыд должны заставить человека вернуть деньги быстрее. Причем, как показывает практика, это работает: при среднем невозврате по стране в 28%, благодаря тому, что разработчики деликатно называют «социальным давлением», этот показатель был снижен до 12%.
Подход с смс‑спамом и звонками активно критиковался. Так, В Нигерии с 31 мая 2023 года кредитным приложениям, включая OKash, законодательно запрещено получать доступ к контактам пользователей и звонить им. Поэтому в обновленной политике OKash для Нигерии присутствует явная фраза: «Контактная информация, которую вы предоставляете, будет использоваться только для проверки вашей личности и связи с вами в экстренных случаях, и НЕ будет использоваться для целей взыскания/возврата кредита. Информация о вашем кредите не будет передаваться контактам».
А вот в Кении все по‑прежнему: в 2019 году Кения приняла Закон о защите данных (KDPA), действующий и поныне, согласно которому приложения должны получать явное согласие пользователя через стандартные запросы разрешений в Android или iOS. Уведомление, конечно, есть, но оно выглядит как стандартное и без его одобрения никакой кредит не выдается.
Предоставьте доступ к галерее
Если написанное в предыдущем разделе вызвало у вас возмущение, то добро пожаловать в Индию. Здесь приложения по микрозаймам идут дальше и одними из первых массово монетизируют дипфейки.
Начнем главного: на начало 2022 года Резервным Банком Индии было выявлено более 600 нелегальных приложения для микрокредитования, действующих без одобрения финансового регулятора. Интересно, что заметная часть этих приложений имели отношение к Китаю — либо хостились на китайских серверах, либо имели команды разработчиков из Поднебесной. Но мы снова отвлеклись.

Поскольку эти приложения сразу находятся за чертой законности, то и методы они используют соответствующие: помимо доступа к контактам, приложение сканирует галерею телефона под предлогом KYC, а при просрочке высылает контактам заемщика его смонтированные фотографии, угрожая «выложить их на сайты для взрослых». Далее цитата с описанием одного из случаев, связанных с работой таких приложений:
Сандип, продавец в частной компании, совершил попытку расстаться с жизнью через несколько дней после того, как узнал, что его отредактированные фотографии с женщинами в компрометирующих ситуациях (от автора — в статье используется максимально нейтральная формулировка) были разосланы его коллегам, друзьям и родственникам, а также более чем 100 контактам из его списка в мобильном телефоне.
В сообщениях, рассылаемых по контактам тоже никто не церемонился. Фразы типа «Он отправляет свою мать и сестру работать проститутками и живет на заработанные ими деньги» были одними из самых мягких.
Ну и вишенкой является то, что приложение любят показывать большие картинки, утверждающие, что деньги даются на 30–60 дней, а потом выясняется (привет, мелкий шрифт), что первый платеж надо платить уже через 7 дней, причем под более высокие проценты, чем было заявлено. Ну а если не заплатишь — смотри выше.
Банк Индии старается бороться с этим явлением через информирование население. К примеру, он ведет специальный реестр фейковых финансовых приложений и выпускает рекомендации о том, как распознать такой апп. Вот здесь, к примеру, можно посмотреть список нелегальных приложений на начало 2026 г.
Предоставьте доступ к геолокации
В предыдущих разделах речь шла о приложениях, которые балансируют на грани или откровенно нарушают закон. Но иногда ловушка с предоставлением данных выглядит абсолютно легально. Так, Muslim Pro — одно из самых популярных приложений для мусульман с более чем 98 миллионами скачиваний по всему миру. Приложение помогает определить время намаза, показывает направление на Мекку, предоставляет доступ к текстам Корана. Для корректной работы приложению требуется доступ к геолокации, что вполне логично, ибо от этого зависит часть функциональности.
Однако в 2020 году выяснилось, что собранные геоданные миллионов пользователей продавались через встроенного в приложение брокера данных X‑Mode подрядчикам из Министерства обороны США. Более того, согласно расследованию Motherboard, данные о перемещениях пользователей Muslim Pro использовались американскими спецслужбами для разведывательных операций и планирования ударов дронов на Ближнем Востоке.
После публикации расследования Muslim Pro заявил, что прекратил сотрудничество с X‑Mode и удалил их SDK из приложения. Но X‑Mode — далеко не единственный брокер данных на рынке и таких SDK‑библиотек существуют достаточно. С учетом того, что сейчас приложения всё чаще собираются из готовых компонентов и библиотек (привет, вайб‑кодинг!), разработчики сами не всегда понимают, какие данные куда утекают и через чьи руки проходят.
Свяжите ваш аккаунт с банковским приложением, чтобы нам было проще начислять вам зарплату и автоматически оформлять документы в налоговую
Данный раздел будет содержать элемент экстраполяции, но он кажется мне важным. Сначала мы поговорим о кейсе, не имеющем прямого доступа к финансовой статистике претендента, но пытающемся «восстановить» эту информацию с помощью алгоритмов. Так приложения для поиска подработки медсестрам в США (казалось бы, жители этой страны точно защищены) используют то, что исследовательница Вина Дубал определяет как «алгоритмическую дискриминацию по зарплате». Система анализирует данные о работнике и назначает индивидуальную ставку оплаты на основе его финансового положения.
Ключевой параметр тут — рассчитываемый уровень задолженности по кредитам, который определяется алгоритмически, к примеру, по готовности брать частые длинные смены и прекращение этого при достижении определенной суммы в месяц. Приложения также учитывают историю принятых ставок, частоту подачи заявок на смены и другие поведенческие паттерны. В итоге, чем выше у работника желание брать тяжелые смены, тем сильнее система определяем его потребность в деньгах, и тем ниже ставку может ему предложить.
Некоторые приложения, такие как Clipboard Health и ShiftKey идут еще дальше и используют систему торгов: работники конкурируют друг с другом, указывая минимальную почасовую ставку, за которую готовы работать.

При этом, с точки зрения законодательства, вся схема легальна. Классификация медсестер как независимых подрядчиков исключает их из сферы действия трудовых законов и позволяет им конкурировать с друг другом.
Данный кейс особенно интересен тем, что похожая схема с выводом персонала на периферию трудового законодательства используется и российских технологических компаниях, где ставка делается на самозанятости (по сути и так перекладывая все социальные выплаты на плечи работника).
Учитывая то, что часть из таких компаний имеют собственные банки, которые можно использовать для получения выплат, и вуаля — перед нами готовый пакет данных для анализа, позволяющий назначать оплату смены ровно между «я не буду работать за такие копейки» и «очень нужны деньги, поэтому черт с вами».
Отозвать разрешения
Мы все понимаем, что установка приложений из официального магазина не является гарантией безопасности, потому что Google Play и App Store преимущественно проверяют приложения на вирусы и вредоносный код (и то, не сказать чтобы идеально). При этом этичность бизнес‑модели практически не анализируется и часто остается за скобками.
Поскольку законодательство многих стран не успевает за техническим прогрессом и не может предусмотреть все возможные варианты использования персональных данных, возникают серые зоны, в которых формально легальные действия оборачиваются шантажом, слежкой или финансовой дискриминацией. И тут, как всегда, остается уповать только на собственную грамотность и осмотрительность.
Размещайте облачную инфраструктуру и масштабируйте сервисы с надежным облачным провайдером Beget.
Эксклюзивно для читателей Хабра мы даем бонус 10% при первом пополнении.

Комментарии (8)

Arhammon
25.02.2026 07:38Данный кейс особенно интересен тем, что похожая схема с выводом персонала на периферию трудового законодательства используется и российских технологических компаниях, где ставка делается на самозанятости (по сути и так перекладывая все социальные выплаты на плечи работника).
Самозанятый отстёгивает государству только 6% и вроде может не платить "ЕСН" в надежде что больничный и пенсия не понадобиться или решит эти проблемы самостоятельно, а трудоустроенный в общем случае теряет 43%... В принципе в большинстве случаев выгоднее первый вариант, но это в теории, на практике - где мутные схемы платят не на 37% больше...
Ну и сами кейсы больше про то что не надо влезать в долги, когда-то могли случиться вещи посерьёзнее чем рассылка дипфейков...

event1
25.02.2026 07:38Поскольку эти приложения сразу находятся за чертой законности, то и методы они используют соответствующие
Незаконные кредитные организации? А если я у них возьму кредит и не верну, то они мне смогут что-то сделать? Для друга интересуюсь.
При этом, с точки зрения законодательства, вся схема легальна
Дикари-капиталисты, что с них взять. Тут приложениями дело не исправить. Тут нужно настоящее трудовое законодательство, минимальная зарплата, гарантированный отпуск и вот это вот всё.

saege5b
25.02.2026 07:38Незаконные кредитные организации? А если я у них возьму кредит и не верну, то они мне смогут что-то сделать? Для друга интересуюсь.
Если брать Россию времён весёлых девяностых, то в гости могли прийти весёлые аниматоры с занимательными конкурсами с горячим утюгом, пассатижами и прочими бытовыми предметами.
Вспоминая смену крыши у диких ягод, и замачивание бизнесменов то те годы в какой-то мере возвращаются.
Да и новостей про травмирующие шутки коллекторов хватает.

KEugene
25.02.2026 07:38Ну, все приведенные случаи изначально ориентируются на жадность. Пользователь ставит нечто, надеясь получить экономию или даже заработать. Более того, это асе ставится, так сказать, из "альтернативных источников". По сути, это уже не вопрос разрешений:
"Чувак, ты скачал apk с непонятного сайта и установил на свой смартфон. Может ты еще и вирусы написанные на питоне запускаешь? Чем ты думал?"
Вот если бы были примеры установки приложения из официальных сторов и их аномально поведения, тогда да.

Maslukhin
25.02.2026 07:38Кроме Индии, все приложухи легальны. И отлично живут в том же маркете.
Насчёт Индии, я так понял, что они тоже лежат в сторах и банк Индии регулярно обращается в Google, чтобы они то или иное потерли.
Да даже наш опыт с размещением банковских приложений от санкционных банков показывает, что разместить можно что угодно. И оно будет лежать во вполне официальном сторе.

Spyman
25.02.2026 07:38Ну близко но не совсем)) откровенно вирусные приложения, и те, которые используют известные уязвимости - отловит гугловский автоанализатор. Если будут подозрительные пермишены или опасные - высока вероятность попасть на ручную проверку индусом - и там уже не пройти. Ну и по правилам - те приложения, которые тянут произвольный исполняемый код с сервера и запускают (уж не знаю что имеется в виду - какой нибудь хитровыкручкнный eval в java через рефлексию или ndk) - запрещены (termicus из стора из за это не поддерживает репозитории, а вот с их сайта - запросто). Хотя практика показывает, что это не касается js кода.
maedv
Не хватает русских примеров и четкой инструкции, как правильно устанавливать и настраивать приложения
Spyman
Как человек разрабатывающий мобильные приложения - могу сказать как минимум, что в той-же яндекс метрике, которая обязательна для некоторых типов приложений по закону - есть режим записи экрана (внутри приложения). Если он включен, то аналитики могут посмотреть запись пользовательского сеанса и все действия (но не аппаратно ускоренные окна типо камеры или видео). При этом - куча приложений типо телеги и ВК - по умолчанию открывают ссылки не в системном браузере а прямо в приложении - и это потенциальная утечка.
Сбербанк в своё время заставил меня удалить их приложение а потом и в целом отказаться от услуг тем, что их приложение требовала "для работы встроенного антивируса" - доступ к списку контактов, истории звонков и ещё куче всего (к слову доступ к "телефону" по идее был даже адекватен т.к. позволял получить id девайса и вроде как понять подмену устройства или типо того, но беда в том, что он давал ещё кучу прав в придачу)
А так - за 10 лет разработки, злонамеренных случаев слежки в больших компаниях не встречал, и утаить это не так просто. Думаю такое могут позволить себе библиотеки выдающие api для аналитики. Но вот для аналитики собственно - каждый шаг/клик/просмотр - будет записан.
Рекомендации банальны - отключаете встроенный браузер в приложении (почти всегда есть галка - использовать системный), читайте какие разрешения и зачем просит приложение (банку выдавать контакты не нужно, а вот по тупости систем прав в android - приложению весов - может потребоваться доступ к местоположению потому что без него доступ к bluetooth не получить). Ну и если приложение загоняет вас в системные настройки чтобы получить разрешение (быть поверх всех окон например) - значит это особо опасный пермишн - подумать надо с запасом)
А в целом все как всегда - если читать что написано, будете уязвимы только к 0d уязвимостям)