Автоматическая установка приложения Белого дома на смартфоны DHS: риски безопасности и сбор данных

Сам сюжет американский, но приём — до боли знакомый по нашему рынку. Поэтому разберу его не как политику, а как кейс из мобильной жизни.

Что нам пытаются продать

В пресс-релизе на сайте Белого дома приложение описывается как «удобный способ получать официальные коммуникации — анонсы, указы, речи, трансляции, видео». Первой фичей в списке идут «breaking news alerts» — пуши о важных заявлениях и executive actions. Маркетинг чистой воды: «нефильтрованные обновления прямо из источника». Источник, напомню, конкретный — действующий президент США.

По данным Notus, приложение делится с третьими лицами пользовательскими данными: таймзона, IP-адрес и «кое-что ещё». Главная претензия — «не раскрывает шеринг данных так, как это делают большинство других». То есть в Privacy Label или в пользовательском соглашении вы этой информации не найдёте. Шеринг — это передача ваших данных сторонним компаниям, например рекламным сетям или аналитическим платформам.

Почему это не «их проблема»

Бывший IT-директор Федеральной службы закупок США Санни Хашми в разговоре с Government Executive назвал автоустановку «cause for alarm» — поводом для тревоги. Его цитата: «Любое приложение, установленное на государственных устройствах, потенциально может создать бэкдор-доступ к правительственным сетям за файрволом». Бэкдор — это скрытая лазейка, через которую можно войти в защищённую систему в обход паролей и антивирусов.

Говорит не оппозиционер, а свой человек — экс-чиновник американской администрации. И его логика работает в любой юрисдикции: если софт ставится принудительно и при этом молчит о том, кому сливает метаданные (то есть технические сведения о вашем устройстве и действиях), это потенциальный троян в кармане. Пусть и красиво упакованный.

Что делать нам с этим знанием

Приёмы одни и те же по обе стороны океана. Автоустановка — прилетает «само». Обязательные пуши — отказаться нельзя. Сбор таймзоны и IP — норма, а не исключение. Передача третьим лицам — оформляется так, чтобы вы этого не заметили.

Я проверил: в большинстве «суперсервисных» приложений из топ-чартов российских сторов Privacy Label либо размыта до нечитаемости, либо просто отсутствует. А пункт «таймзона и IP третьим лицам» — там дефолт, а не опция.

Совет, как обычно, простой и бесплатный. Не соглашайтесь на то, что «прилетает само». Не подписывайтесь на обязательные уведомления, если можно отказаться. Раз в месяц заходите в Настройки → Приложения → Разрешения и отключайте всё, чем не пользуетесь. Особенно доступ к геолокации, контактам и «отслеживанию активности на других сайтах и в приложениях» — это и есть тот самый шейпинг, то есть формирование вашего цифрового профиля на основе метаданных.

Белый дом далеко, а ваш трафик, батарея и личные данные — вот они, в пакете у оператора. Экономьте их так же придирчиво, как рубль.