30 самых популярных приложений для Android от российских разработчиков исследовала правозащитная организация RKS Global. Из них 22 засекают работающий VPN, обнаружила RKS Global.
При этом 19 из засекающих VPN приложений отправляют эти данные на свои серверы. Оттуда их могут получить силовики, отметили в RKS Global. Среди таких приложений – «Яндекс Браузер», «Сбербанк Онлайн», Wildberries, «Кинопоиск» и Max. Многие приложения считывают и другие данные пользователей. Другие данные пользователей также собирают некоторые приложения. Так, «Яндекс Браузер» ищет на устройстве анонимный браузер Tor. «Самокат» и MegaMarket получают список всех VPN-приложений, установленных на устройстве. Приложения банков, включая «Т-Банк», «Сбер» и «ВТБ», получают разрешения доступа к фоновым сервисам камеры, микрофона и геолокации, обнаружили в RKS Global. Несколько приложений, включая «2ГИС» и Yandex Music, перехватывают каждое касание экрана пользователем. Метод. Исследователи проверили код приложений по нескольким категориям слежки. При этом они не использовали методы анализа, связанные с мониторингом работы запущенных приложений.
Что делать. Исследователи RKS Global советуют иметь два телефона и пользоваться приложениями от российских разработчиков только на одном из них.
Если телефон один, эксперты советуют в том числе пользоваться приложением Shelter для Android, создающим на устройстве разные профили, а также ограничивать в настройках доступ российских приложений к геолокации и другим параметрам. Контекст. В начале апреля Минцифры провело совещания, на которых потребовало от российских площадок к 15 апреля ограничить доступ пользователям с включенным VPN, писал РБК со ссылкой на источники. Позже министерство разослало компаниям рекомендации по определению включенного VPN на устройствах пользователей, сообщал РБК. При этом в документе указано, что на айфонах это сделать сложнее: iOS не дает доступ сторонним сервисам к данным приложений. 7 апреля «Известия» сообщили, что маркетплейсы начали блокировать пользователей с VPN. «Ростелеком» решил блокировать все иностранные IP-адреса в мобильных приложениях, узнала «Бумага» от источника в компании. 10 апреля «Коммерсант» сообщал со ссылкой на источник, близкий к правительству, что РКН формирует «белый список» корпоративных VPN и «легитимных» прокси-серверов.🔗
