ИБ-эксперты обеспокоены сбором данных о пользователях российской компанией «Яндекс»

Крупнейшая российская web-компания «Яндекс» внедрила код в приложения для мобильных устройств, который позволяет отправлять данные о десятках миллионов пользователей на серверы, расположенные в РФ.

У «Яндекса» есть SDK под названием AppMetrica. SDK — блоки, используемые разработчиками для создания приложений. Многие SDK предоставляются «бесплатно» для доступа к пользовательской информации, которая способствует проведению рекламных кампаний. Среди множества приложений, в которые встроена AppMetrica, есть видеоигры, приложения для обмена сообщениями, инструменты для определения местоположения и виртуальные частные сети (VPN).

Ситуация касается данного приложения, позволяющего разработчикам создавать программное обеспечение для устройств под управлением iOS от Apple и Android от Google. Проблему обнаружил исследователь в области кибербезопасности Зак Эдвардс (Zach Edwards) в ходе маркетинговой кампании по аудиту приложений для некоммерческой организации Me2B Alliance.

«AppMetrica SDK предлагает приемлемые условия для компаний, но при этом передает метаданные в Москву, которые можно использовать для отслеживания людей на web-сайтах и ​​в приложениях», — прокомментировал ситуацию Эдвардс.

Представители техногиганта признали, что программное обеспечение собирает данные об «устройствах, сообществах и IP-адресах», которые хранятся «как в Финляндии, так и в России», но назвали эту информацию «неперсонализированной и действительно ограниченной».

По словам бывшего инженера Apple Шер Скарлетт (Cher Scarlett), как только данные о потребителях будут собраны на российских серверах, «Яндекс» вполне может быть обязан предоставить их федеральному правительству в соответствии с местными правовыми нормами. Подобные метаданные предположительно могут быть использованы для идентификации пользователей.

Представители техногиганта сообщили, что компания собирает информацию только «после того, как приложение получит согласие пользователя» через приложения для Android и iOS. Как отметил главный специалист в Disconnect Патрик Джексон (Patrick Jackson), SDK могут представлять опасность именно потому, что они не запрашивают разрешения. Вместо этого они «используют разрешения, которые потребитель предоставил приложению.

Некоторые разработчики приложений начали удалять AppMetrica после начала военного конфликта на территории Украины.