Apple включила “Ярлики конфіденційності”: Які дані про вас збирають програми
До кінця не зрозуміло, наскільки ефективними будуть ці попередження, але сама спроба є перспективною.
Тепер програми для Mac та iOS з AppStore будуть показувати обов’язкові ярлики, в яких вони надають короткий виклад своєї політики конфіденційності. Це свого роду "інформація про харчові добавки", тільки для додатків. Таким чином Apple наочно показує, до яких даних отримає доступ додаток, а також що він далі з цими даними робитиме.
Сама ідея розвитку конфіденційності та ярликів, що попереджають про її порушення – не нова. На початку 2010-х академічні дослідники вже розробили прототипи ярликів конфіденційності для мобільних додатків. Ще раніше такі країни як Фінляндія, Сінгапур та Великобританія почали просувати ярлики, присвячені безпеці IoT пристроїв. Але Apple, схоже, перший технологічний гігант, який використовує і просуває таку тактику з по-справжньому великим розмахом.
“Підхід Apple виглядає багатообіцяюче, але залишається не зрозумілим, скільки тестів було проведено для цього", каже Лоррі Кренор, директор Лабораторії конфіденційності та безпеки CyLab при Карнегі-Меллоні. “У міру розвитку сценарію з реальними додатками та реальними користувачами, буде цікаво подивитися, що працює, а що ні – чи зрозуміють розробники, як правильно надати інформацію, чи дійсно вони говорять правду, і чи розуміють користувачі, що це означає – всі ці питання залишаються відкритими”.
У ярлика є три категорії: Дані, що використовуються для відстеження, Дані, пов’язані з вами та Дані, не пов’язані з вами з зазначеними пунктами для кожного, які докладно описують, що у додатку “під капотом”. Ярлик може показувати, що програма хоче зібрати дані про ваше місцезнаходження, фінансові сервіси або контакти, і пов’язує це все з діючим обліковим записом або ідентифікаторами, такими як ідентифікаційний номер вашого пристрою.
Ярлик конфіденційності може піти далі, і сповістити про те, що програма ділиться вашими даними з третіми особами, наприклад, з компаніями, які відстежуватимуть вас через свої веб-сайти та сервіси.
Багато програм вже надіслали інформацію про те, як вони працюють і з дня на день отримають свій Ярлик конфіденційності, але повсюдними вони стануть лише через деякий час. Надання відомостей про конфіденційність є обов’язковим, коли розробник відправляє нову програму або оновлення в Apple для перевірки, а багато програм мають нечасті цикли оновлення. Однак Apple заявляє, що деякі розробники все одно додали інформацію, можливо, щоб уникнути приховування чогось.
Але в сьогоднішніх реаліях складно знайти програму, яка не відстежує та не ідентифікує користувачів. Оскільки тепер надання даних для Ярликів є обов’язковим у магазинах додатків iOS і macOS, то розробник повинен надати фактичну інформацію і з часом її оновлювати.
“Ви несете відповідальність за точність та актуальність своїх відповідей”, – йдеться у посібнику Apple для розробників.
Магазини програм, такі як Google Play та App Store, протягом багатьох років постійно борються зі шкідливими програмами, які не проходять ці процеси аудиту та перевірки. Враховуючи регулярний характер цього явища, схоже, що відомості про конфіденційність, що вводять в оману, також іноді з’являтимуться, принаймні, доти, доки дослідники або небайдужі користувачі не виявлять і не вкажуть на невідповідності.
Пардіс Емамі-Наейні, дослідник конфіденційності з Вашингтонського університету, який працював з Кранором та іншими над розробкою Ярликів безпеки для Інтернету речей, зазначає, що хибна інформація – не єдина перешкода. Деякі розробники можуть не до кінця розуміти вимоги до надання інформації, або можуть не мати вичерпного розуміння, як саме їх додаток збирає та розпоряджається даними. Може здатися, що це має бути очевидним, але насправді розробники часто створюють те, що їм кажуть, не даючи напряму, що спеціально відображає потік інформації.
Наприклад, зрозуміло, що програми часто включають вже існуючий відкритий вихідний код, який може містити механізми відстеження або збору даних, про які розробники не мають вичерпного уявлення. Процес надання Apple даних про конфіденційність може послужити для розробників гарною можливістю переконатися, що вони насправді розуміють, що відбувається всередині їхнього програмного забезпечення. Але так само легко уявити, як деяким розробникам це не цікаво і не беруть до уваги важливі деталі.
Також існують певні типи збору даних, які необов’язково розкривати, оскільки дані не використовуються для відстеження або збираються рідко. Тип покликаний спростити завдання, оскільки бувають сприятливі ситуації, коли програма збирає, скажімо, одноразовий пінг розташування, але ніде не передає його і дає користувачам чітку можливість відмовитися. Проблема, однак, у тому, що категорія "необов’язкове розкриття інформації" здається неораним полем для лазівок та обхідних шляхів.
“Якщо ви задовольняєте всі параметри, вам не потрібно розкривати певну інформацію, яку ви збираєте, що здається не дуже гарною ідеєю”, – каже Емамі-Наейні. "Розробникам додатків досить просто сказати: "Ми відповідаємо цим параметрам".
Емамі-Наені хвалить Apple за такий великий крок до нормалізації подання інформації, зручної для користувачів, позбавляючи їх необхідності вивчати складну і непрозору політику конфіденційності. Але вона наголошує, що її також турбує те, як Apple контролюватиме достовірність інформації на Ярликах.
Як і у випадку з даними про харчові добавки в продуктах харчування, багато користувачів просто ігнорують їх або перевіряють лише один критерій, який їх хвилює. Але для людей, які дійсно вивчають та користуються ярликами, інформація має малювати точну картину, щоб бути корисною.
Якщо ви знайшли цю статтю корисною, то поділіться нею із друзями у соціальних мережах!
За матеріалами Wired.