VPN-сервисы используют трекеры: почему это должно вас волновать
При выборе VPN-провайдера мы обращаемся за советом к друзьям и знакомым, читаем отзывы в интернете и неизбежно натыкаемся на списки самых «лучших» сервисов от специализированных изданий. Рядовому пользователю часто не хватает времени или ресурсов, чтобы изучить каждый из десятков VPN-провайдеров, представленных на рынке, просмотреть тысячи отзывов (которые, к тому же, могут быть тщательно отсортированы) и сделать осознанный выбор.
Доверяй, но проверяй
И хотя у друзей может быть ценный опыт использования VPN, казалось бы, нет ничего плохого и в том, чтобы довериться авторитетным отраслевым изданиям: их эксперты тщательно проверят каждого провайдера и вынесут вердикт: «Да» или «Нет».
Обычно авторы обзоров принимают во внимание целый ряд критериев: скорость соединения, количество и расположение серверов, работа службы поддержки — всё это важно. Но то, чего мы ожидаем от VPN по умолчанию — это определённая степень конфиденциальности для пользователя и защита от трекеров. Когда речь заходит о передаче данных третьим лицам, пространство для манёвра у VPN очень ограничено — в конце концов, именно для борьбы с бесконтрольным сбором и передачей данных их, в том числе, и используют.
Но что, если некоторые важные факты о VPN ускользают от внимания экспертов или намеренно ими опускаются? Мы не будем строить теории заговора и обвинять все издания в некомпетентности или продажности. Вместо этого мы дадим вам некоторую пищу для размышлений. Мы выбрали 20 VPN-провайдеров, которые попали в списки «лучших VPN» от различных изданий в сфере технологий и кибербезопасности за последний год, и проверили, есть ли в их приложениях для Android встроенные трекеры.
Оказалось, что по крайней мере в 14 из этих 20 приложений встроены отслеживающие скрипты.
Мы не будем называть конкретные VPN, но назовем публикации, чтобы вы имели приблизительное представление о том, где мы искали наших героев и антигероев. Это Techradar, Tom's Guide, Cybernews.com, vpnMentor, Security.org, Makesuseof и PCMag и другие.
Вы можете самостоятельно проверить любое из интересующих вас приложений VPN на наличие трекеров, пройдя по ссылке ниже:
Трекеры и «лучшие» VPN: заглянем под капот
Как мы уже упоминали, из 20 VPN-приложений, которые мы отобрали на основе их включения в различные рейтинги, в 14 есть трекеры.
Рассмотрим эти трекеры подробнее. Самым популярным, встречающимся в 13 приложениях из 20, является Google CrashLytics — инструмент создания отчётов о сбоях в реальном времени, который является частью экосистемы Google Firebase. Второе место по популярности занимает другой инструмент Google — платформа анализа производительности приложений Google Firebase Analytics, которая встроена в 11 приложений.
Сомнительную «бронзу» поделили между собой инструмент маркетинговой аналитики AppsFlyer и старый добрый сервис бесплатной аналитики Google Analytics, каждый из которых можно найти в 6 приложениях из 20.
Теперь мы ныряем в более глубокие воды, населённые более редкими, а в некоторых случаях и более опасными видами: в 3-ёх приложениях используется инструмент маркетинговой аналитики MixPanel; в 2-ух работает инструмент для мобильного ретаргетинга Adjust, и в 2-ух же встроена платформа мобильной аналитики и атрибуции Kochava. Платформу для рекламной монетизации Google AdMob можно найти в 2 приложениях.
Инструмент для мониторинга New Relic, набор сервисов под названием Huawei Mobile Services (HMS) Core, к которому также относятся инструменты для отслеживания, маркетинговая платформа Insider, а также платформа для проведения а/б тестов на мобильных устройствах Taplytics — всех их можно найти как минимум в одном приложении.
Одно VPN-приложение нашло в себе неожиданного союзника в лице Facebook и располагает целым набором встроенных кодов отслеживания от техгиганта, включая Facebook Analytics, Facebook Places, Facebook Share, Facebook Login.
В другом VPN-приложении установлен трекер с говорящим названием: Facebook Ads. Это же приложение VPN, очевидно, неравнодушно к рекламным скриптам, в целом. В нём также можно найти Google AdMob, Kochava, MixPanel и Unity3d Ads.
Даже глядя на названия трекеров, можно предположить, что некоторые из них не похожи на безобидные аналитические инструменты, которые провайдеры используют только в целях улучшения качества сервиса.
Но предоставим слово им самим.
Но ведь VPN-сервисы не следят за мной, верно?
Мы изучили политики конфиденциальности трекеров, встречающихся в «лучших из лучших» VPN-приложениях, чтобы выяснить, какие данные они могут собирать и что они могут с ними делать.
AppsFlyer
Где: подпись кода присутствует в 6 приложениях.
Калифорнийская компания AppsFlyer, получившая первое финансирование от Microsoft, утверждает, что она может обрабатывать большое количество данных конечного пользователя. Эти данные включают информацию о типе и модели устройства, процессоре, языке системы, памяти, версии ОС, состоянии Wi-Fi, метке времени и часовом поясе. Данные также содержат технические идентификаторы, например, IP-адрес, данные строки user agent, идентификатор устройства Android, идентификатор клиента, а также данные о «других типах взаимодействия, событиях и действиях, которые клиенты сами выбирают для измерения и анализа в приложении».
AppsFlyer заявляет, что данные конечного пользователя, которые он обрабатывает, «обычно не содержат» информации, которая может непосредственно идентифицировать пользователя, но признает, что «в определенных юрисдикциях» данные конечного пользователя, которые они получают, «могут считаться персональными данными». Более того, клиент, то есть приложение VPN, может настроить свои услуги на сбор конфиденциальной персональной информации, и тогда AppsFlyer будет получать и обрабатывать эту информацию.
Google Analytics
Где: подпись кода присутствует в 6 приложениях.
Google Analytics — это хорошо зарекомендовавший себя маркетинговый инструмент, который по умолчанию собирает Android Advertising ID. Для этого разработчик должен предоставить SDK определенные разрешения. Но даже в этом случае пользователь может отказаться от сбора рекламного ID в настройках Android.
По умолчанию Google Analytics также собирает следующую информацию о пользователе: возрастная группа, пол, язык, используемый магазин приложений, версия приложения, регион, континент, страна, город, марка устройства (например, Samsung), категория устройства, модель устройства, версия ОС и платформа.
Google CrashLytics
Где: подпись кода присутствует в 13 приложениях.
CrashLytics является частью семьи Google и, как любой уважаемый член этого семейства может обрабатывает большое количество данных конечных пользователей. В случае CrashLytics это, помимо прочего, UUID (универсальные уникальные идентификаторы) установки CrashLytics. CrashLytics использует UUID для «определения количества пользователей, затронутых сбоем». CrashLytics хранит трассировки стека сбоев, данные минидампа и UUID в течение 90 дней. Данные также могут включать название и версию операционной системы, информацию о том, было ли устройство взломано или рутировано, название модели, архитектуру процессора, объем оперативной памяти и места на диске и так далее.
Google Firebase Analytics
Где: подпись кода присутствует в 11 приложениях
Google Firebase Analytics собирает рекламные идентификаторы а другие данные, такие как: количество пользователей и сеансов;
длительность сеанса; операционные системы; модели устройств; местоположение; первые запуски; открытия приложений; обновления приложений; покупки в приложении — в принципе, всё то же самое, что и в Google Analytics. Google Firebase Analytics сохраняет рекламный идентификатор Android в течение 60 дней и «совокупную отчётность без автоматического истечения срока действия». Данные на уровне пользователя, такие как конверсии, хранятся максимально 14 месяцев. Разработчик может установить другой срок хранения данных о событиях.
MixPanel
Где: подпись кода присутствует в 3 приложениях
MixPanel — компания, предоставляющая услуги бизнес-аналитики, чьим генеральным директором является бывший топ-менеджер Twitter. Что интересно, политика конфиденциальности компании распространяется не на конечных пользователей, а на клиентов, которыми в нашем случае являются VPN-приложения. Это означает, что конечные пользователи не могут напрямую потребовать от MixPanel удалить их данные. MixPanel утверждает, что в режиме по умолчанию разработчик может разрешить MixPanel доступ к следующим данным: данные о версии приложения, использовании Bluetooth, марке и моделе устройства, операторе Wi-Fi и статусе подключения, производителе устройства, наличии телефонной функциональности, ID устройства, идентификаторе пользователя, который хранится локально на устройстве, операционной системе, разрешении экрана, DPI экрана и часовом поясе.
Mixpanel также сообщает, что «может использовать контент клиента в обезличенном и агрегированном виде для собственных коммерческих целей Mixpanel, включая использование, дублирование, модификацию и создание производных работ, касающихся использования и производительности агрегированных данных».
Google Tag Manager
Где: подпись кода присутствует в 3 приложениях
Google утверждает, что его Диспетчер тегов (Tag Manager) может «собирать некоторое количество агрегированных данных» об их использовании. Эти данные, однако, не включают IP-адреса пользователей или любые другие идентификаторы, которые могут применяться для отслеживания конкретного человека. «Кроме данных в стандартных журналах HTTP-запросов, все из которых удаляются в течение 14 дней после получения, Google Tag Manager не собирает, не хранит и не передает никакой информации о посетителях сайтов наших клиентов, включая URL-адреса посещенных страниц». Звучит обнадёживающе.
Adjust
Где: подпись кода присутствует в 2 приложениях
Adjust принадлежит компании-разработчику мобильных игр и приложений AppLovin и занимается мобильной аналитикой и атрибуцией. Рекламные материалы Adjust уже звучат весьма пугающе: «безлимитный и неограниченный — мы часто используем эти слова, когда рассказываем о нашем доступе к данным», — сообщается на официальном сайте компании.
Adjust утверждает, что его SDK и API могут обрабатывать хэшированные IP-адреса, идентификаторы мобильных устройств, действия в приложении, включая покупки и регистрацию, информацию о взаимодействии пользователя с рекламой, данные датчика касания, акселерометра, гироскопа, аккумулятора, датчика освещенности, технические характеристики устройства и версию операционной системы. Компания утверждает, что не обогащает эти данные для идентификации отдельных пользователей и не передает и не раскрывает их «никому, кроме наших операторов связи и в ответ на законные запросы государственных органов». Данные хранятся до тех пор, пока разработчики приложений используют SDK, если только специально не оговорено иное.
Google AdMob
Где: подпись кода присутствует в 2 приложениях
В этом случае всё довольно просто: разработчики интегрируют AdMob в свои приложения для того, чтобы получать доход от показа в них рекламы. Mobile Ads SDK может собирать следующие данные: идентификатор устройства, диагностическую информацию (например, журналы сбоев), которая может также быть использована в рекламных целях. Также SDK собирает «данные о производительности приложений, связанные с пользователем», например, когда пользователь запускает приложение и сколько времени в нём проводит. Такие «данные о производительности» могут быть использованы для показа рекламы, «в том числе переданы третьим лицам, которые показывают рекламу».
Kochava
Где: подпись кода присутствует в 2 приложениях
Базирующаяся в Айдахо компания Kochava получает «различные данные от SDK», в том числе рекламные идентификаторы Google, Android, Amazon и Huawei, данные строки user-agent и прочие данные, которые «являются типичными для большинства SDK платформ». К ним относятся уровень заряда батареи, архитектура устройства, время загрузки, модель устройства, местоположение, язык, сеть, платформа, DPI экрана, его расширение, а также настройки яркости и часовой пояс. Конечный пользователь не может отказаться от передачи данных, это может сделать только разработчик приложения.
Unity3d Ads
Где: подпись кода присутствует в 1 приложении
Как можно предположить исходя из названия, Unity3d Ads занимается монетизацией рекламы. Данные, которые она обрабатывает, зависят от типа продукта и могут варьироваться от IP-адреса до различной информации об устройстве, учётных данных, ОС, языка, рекламного идентификатора и так далее. Согласно своей политике конфиденциальности, Unity Ads может использовать информацию, которую «собирает или получает, для размещения таргетированной рекламы, включая персонализированную рекламу». Компания также может «использовать файлы cookie и связанные с ними технологии для хранения информации или считывания информации с вашего браузера или устройства». Сторонние рекламодатели также могут размещать рекламу в сервисе.
New Relic
Где: подпись кода присутствует в 1 приложении
Калифорнийская компания New Relic разрабатывает программное обеспечение, которое помогает владельцам приложений отслеживать и улучшать их производительность. Она может записывать логи, журналы событий, агрегированные данные, а также личные данные, такие как идентификатор пользователя и имя пользователя. Компания может передавать эти данные «сторонним провайдерам услуг, которые обеспечивают поддержку нашего сервиса и операций», а также правоохранительным органам, регуляторам, суду или другим третьим лицам, если сочтёт это необходимым для защиты закона, интересов компании или жизненно-важных интересов «какого-либо лица». Платформа хранит разные типы данных в течение разных периодов времени. Если владелец приложения сокращает количество дней, в течение которых New Relic может хранить данные, они все равно могут быть выдаваться в запросах «в течение нескольких недель». Более того, как только телеметрические данные (события, метрики, журналы, трассировки) передаются в New Relic и становятся доступными для запросов, «эти данные нельзя редактировать или удалять».
Huawei Mobile Services (HMS) Core
Где: подпись кода, присутствует в 1 приложении
HMS — это набор инструментов, который позиционируется как альтернатива библиотекам для разработчиков от Google, созданный китайским телекоммуникационным гигантом Huawei. Он включает в себя Analytics Kit, Location Kit и Ads Kit среди прочего.
Insider
Где: подпись кода присутствует в 1 приложении
Компания Insider, имеющая турецкие корни и базирующаяся в Сингапуре, разработала маркетинговый инструмент, который может обрабатывать персональные данные, включая контактные данные и IP-адреса, а также данные, относящиеся к «железу» и программному обеспечению устройства. Insider заявляет, что не «сдаёт в аренду, не продает и не передаёт личные данные третьим лицам», но может передавать личную информацию по требованию закона и когда считает, что раскрытие данных необходимо «для защиты интересов компании, защиты вашей безопасности или безопасности других лиц, а также в целях расследования мошенничества или в ответ на запрос властей».
Taplytics
Где: подпись кода присутствует в 1 приложении
Taplitics довольно туманно описывает, какие данные она получает от своих клиентов. Базирующаяся в Канаде компания утверждает, что она «получает данные, собранные клиентами для целей предоставления наших услуг клиенту», и что в таких случаях приложение предварительно «запрашивает согласие пользователя на передачу личной информации c Taplitics». Данные хранятся «на защищённом облаке» в США, что означает, что к ним может применяться «законы США». Taplitics утверждает, что не разглашает личные данные пользователей «за исключением случаев, когда это происходит с согласия пользователя или по требованию закона».
Трекеры Facebook
Следующее семейство трекеров не нуждается в представлении. Facebook — не та компания, которую обычно ассоциируют с защитой конфиденциальности, поэтому связь между технологическим гигантом и якобы ориентированными на приватность VPN выглядит, мягко говоря, странной. Различные SDK Facebook автоматически записывают основные логи взаимодействия пользователя с приложением, если разработчик не отключит автоматическое ведение журнала. Они также собирают ID рекламного аккаунта на Facebook, рекламные идентификаторы и метаданные, включая связанные с устройством пользователя метрики, такие как ОС, провайдер, размер экрана, мощность процессора и место на диске.
Риски для пользователя
VPN-провайдеры могут утверждать, что они не используют потенциал этих маркетинговых инструментов в полной мере, а ограничиваются минимумом функций, необходимых для улучшения качества обслуживания вас, конечного пользователя. Но вы не обязаны им верить.
Встраивая трекеры в свои приложения, VPN-провайдеры оставляют себе лазейки для сбора пользовательских данных и использования их, например, в целях рекламы. Возможно, сейчас они этого не делают, но где гарантия, что они не будут делать этого в будущем?
В любом случае, мы считаем, что VPN, которые встраивают трекеры в свои приложения, должны ответить своим пользователям на несколько непростых вопросов. Чтобы выяснить, нужно ли вам задавать эти вопросы своему VPN-приложению, не потребуется много времени и усилий.
Всё, что вам нужно сделать, это перейти на сайт платформы для проверки конфиденциальности приложений для Android Exodus и ввести в строке поиска название вашего VPN-приложения. Вы увидите список встроенных трекеров и разрешений, найденных в приложении. Если трекеров не обнаружено, поздравляем. Если же в вашем VPN-приложении есть встроенные трекеры, то вы рискуете тем, что ваши данные могут быть переданы третьим лицам.
Вы всегда можете установить AdGuard VPN: в приложении AdGuard VPN для Android нет встроенных трекеров.