Исследование, проведенное зарубежными СМИ, показало, что SensorTower, известная компания по анализу данных мобильных приложений для разработчиков технологий и инвесторов, использует VPN, а также приложения на Android и iOS для секретного сбора данных миллионов пользователей.
Подробности
С 2015 года SensorTower запустила не менее 20 приложений для Android и iOS, которые были загружены более 35-ю миллионами пользователей по всему миру. В описаниях к приложениям компания не указывает, что будет собирать пользовательские данные в собственных интересах, да и зачастую умалчивает о какой-либо связи с этим приложением.
Когда установка приложения завершена, оно предлагает пользователю установить корневой сертификат, который позволит получать доступ ко всему трафику и данным, передаваемым через смартфон.
Аналитик Android из MalwareBytes, прокомментировал это так:
“Установка корневых сертификатов для приложений подвергает пользователей значительным рискам. Обычный пользователь думает, что это просто поможет заблокировать рекламу и он не осознает серьезности проблемы.”
В BuzzFeedNews обнаружили, что эти приложения содержат код, написанный разработчиками SensorTower и передающий большой массив разных данных в компанию. Однако в SensorTower объяснили BuzzFeedNews, что они собирают только анонимные данные, тем самым просто отслеживая популярность, тенденции использования и прибыльность с помощью интеллектуальной платформы этих приложений.
Рэнди Нельсон, директор SensorTower Mobile Analytics, ответил, что из-за соображений конкуренции ни одного из владельцев этих приложений они не раскрыли. Первоначальной целью его компании было создать блокировщик рекламы. Эти приложения не собирают конфиденциальные данные или личную информацию, такую как пароли, имена пользователей и т. д. Кроме того, большинство приложений больше не доступны.
Многие приложения SensorTower были исключены из списка AppStore и GooglePlay а в Apple и Google начали ограничивать привилегии корневого сертификата для приложений.
Но приложение SensorTower обходит ограничение – после загрузки приложения пользователю предлагается установить сертификат через внешний веб-сайт.
Например, если пользователь LunaVPN (одно из популярных приложений SensorTower) добавляет расширение для блокировки рекламы, приложение отобразит уведомление, которое предоставляет возможность блокировать рекламу на YouTube, и именно так начинается установка корневого сертификата.
Двенадцать приложений SensorTower были удалены из AppStore из-за нарушений. Также сообщается, что в магазине GooglePlay было четыре приложения, принадлежащие SensorTower: FreeandUnlimitedVPN, LunaVPN, MobileData и AdblockFocus. В AppStore есть AdblockFocus и LunaVPN.
После объявления результатов опроса BuzzFeedNews Apple удалила AdblockFocus, а Google удалила MobileData. Apple и в Google все еще проводят дальнейшие расследования.
