Военные США покупают информацию из популярных приложений: расследование Vice

Как стало известно журналу Vice, американские военные покупают информацию о местоположении и перемещениях пользователей из различных приложений. Самым популярным приложением, связанным с такого рода продажей данных, стал сервис для мусульман Muslim Pro, который скачали более 98 млн раз по всему миру. Кроме того, военные покупают информацию из дейтингов и социальных приложений в Колумбии, Турции, Египте и других странах.

Vice обнаружил две компании, предоставляющие данные военным США. Первая — это Babel Street, создатель сервиса Locate X. Доступ к базе данных сервиса купило Командование специальных операций США (USSOCOM) — подразделение вооруженных сил, которое занимается разведкой и борьбой с терроризмом. Другой поток данных поступает через компанию под названием X-Mode, которая получает данные о местоположении пользователя непосредственно из приложения, а затем продает эти данные подрядчикам и, следовательно, военным. 

В число приложений, которые отправляют данные в X-Mode, вошёл, например, сервис Muslim Pro, который напоминает пользователям, когда нужно молиться и в каком направлении находится Мекка по отношению к пользователю. По данным Google Play Store, приложение было загружено на Android более 50 млн раз. На других платформах, включая iOS, — более 98 млн раз. Ещё один сервис, который отправлял информацию в X-Mode, это приложение для знакомств Muslim Mingle, которое было загружено более ста тысяч раз.

Ранее американские СМИ уже выяснили, что к покупке информации из приложений прибегают правоохранительные органы, хотя для доступа к данным такого рода им необходим ордер. В марте стало известно, например, что таможенно-пограничная служба и иммиграционная служба США пользуются Locate X. Официальный контракт Babel Street с USSOCOM — это первое доказательство того, что практика покупки данных о местоположении пользователей в США распространилась не только на правоохранительные органы, но и на военных.

Vice изучил документы о закупках, согласно которым USSOCOM приобрела доступ к базе данных Locate X у компании Babel Street. Бывший сотрудник Babel Street рассказал Vice, что данные Locate X анонимны, но специалисты компании «могут полностью деанонимизировать человека».

Информацию о покупке подтвердил Тим Хокинс, представитель командования специальных операций США.

«Наш доступ к программному обеспечению используется для поддержки специальных операций за рубежом. Мы строго придерживаемся установленных процедур и политик по защите конфиденциальности и гражданских свобод, конституционных и юридических прав американских граждан», — заявил он.

d8003d7e84031e4093bc873e8f9ef149.jpg

Данные о местоположении пользователя можно также получить при помощи SDK. В частности, так действует X-Mode. Компания поощряет разработчиков приложений внедрять ее SDK в их приложения. Затем SDK собирает данные о местоположении пользователей приложения и отправляет их в X-Mode; взамен X-Mode платит разработчикам вознаграждение в зависимости от количества пользователей. Согласно сайту X-Mode, приложение с 50 тыс. активных пользователей в США в день будет приносить разработчику $1,5 тыс. в месяц.

В недавнем интервью CNN генеральный директор X-Mode Джошуа Антон сообщил, что компания ежемесячно отслеживает 25 млн устройств в США и 40 млн в других странах. X-Mode ранее сообщала, что её SDK встроен примерно в 400 приложений.

Vice протестировал приложение при помощи ПО для анализа сети. Эксперимент подтвердил, что приложение Muslim Pro для Android и iOS отправляет в X-Mode детализированные данные о местоположении. Кроме того, приложение отправляло также имя сети Wi-Fi, в которой телефон находился в данный момент, время и информацию о телефоне, например, его модель.

Среди других приложений, отправляющих данные в X-Mode, оказался счётчик шагов Accupedo, загруженный более 5 млн раз; приложение CPlus for Craigslist, которое упрощает поиск пользователей в Craigslist и насчитывает более миллиона загрузок;   Global Storms, сервис для отслеживания ураганов, тайфунов и тропических штормов. Приложение скачали более миллиона раз.

Сотрудники Vice также установили дейтинг Muslim Mingle. Этот сервис также отправлял точные координаты текущего местоположения телефона и имя сети Wi-Fi в X-Mode. Vice обнаружил еще одну сеть приложений для знакомств, которые выглядят и работают почти так же, как Mingle, включая отправку данных в X-Mode. В их число вошли сервисы Iran Social, Turkey Social, Egypt Social, Colombia Social и другие приложения, ориентированные на конкретные страны.

Как подчеркнул в комментарии Vice Крис Хофнэгл, глава факультета Центра права и технологий в Беркли, рядовой потребитель, не являющийся техническим специалистом, не будет знать об этой практике даже если подробно прочитает всю информацию о приложении. Более того, некоторые разработчики, сотрудничающие с X-Mode, заявили в комментарии Vice, что они не знали об отправлении данных о местоположении пользователей подрядчикам по вопросам обороны.

«Я не знал, что X-Mode продавала эти данные каким-то военным подрядчикам, — заявил в электронном письме Vice Николя Дедуш, гендиректор компании по разработке приложений Mobzapp. Mobzapp создала сервис приложение для совместного использования экрана и удалённого доступа для Android, которое отправляет данные  в X-Mode и было загружено более миллиона раз. — Я не могу знать, что X-Mode работает с военными подрядчиками, если они прямо не говорят об этом».

Компания YanFlex, разработчик приложения CPlus для Craigslist, также, похоже, не знала, что X-Mode работает с военными. Представитель компании в комментарии заявил, что эти сведения, скорее всего, неправда. Другие компании, в частности, создатель счётчика шагов Accupedo, отказались комментировать свои отношения с X-Mode.

Но некоторые приложения, которые собирают данные о местоположении от имени X-Mode, по сути, скрывают передачу данных. Muslim Pro не упоминает X-Mode в своей политике конфиденциальности и не предоставляет никаких предупреждений при установке, хотя подтверждает своё сотрудничество с Tutela и Quadrant, двумя другими компаниями, занимающимися данными о местоположении. Iran Social также не раскрывает информацию о продаже данных о местоположении.

После обращения Vice Mingle добавил новое диалоговое окно, в котором говорится, что приложение Muslim Mingle собирает данные о местоположении. Innovate Dating, компания-разработчик Iran Social, сделала то же самое.

X-Mode пояснила в электронном письме для Motherboard, что в рамках соглашений её партнёры обязаны соблюдать законы о защите данных и получать согласие пользователя на сбор информации.

«Мы требуем, чтобы все приложения на нашей платформе соблюдали законы о конфиденциальности и защите данных. Мы предоставляем нашим партнёрам инструменты управления согласием пользователя и проверяем приложение на соответствие требованиям законов. Если мы узнаём о любом предполагаемом нарушении закона со стороны приложения, мы относимся к этому серьезно, проводим тщательное расследование и при необходимости исправляем проблему».

© Habrahabr.ru