W jaki sposób reklamodawcy dowiadują się, których aplikacji dla systemu Android używamy

Czym są identyfikatory urządzeń, w jaki sposób reklamodawcy nas szpiegują poprzez aplikacje i czy możemy się przed tym chronić.

Niedawno Kaspersky opisywał mechanizmy reklamowania w internecie oraz sztuczki, jakich używają sieci reklamowe, aby dowiedzieć się, które strony internetowe odwiedzasz. Jednak Twoje życie wirtualne raczej nie składa się tylko z samych stron internetowych. Bardzo prawdopodobne jest, że w dużej mierze korzystasz z aplikacji mobilnych — a one także zarabiają na reklamach, bo podobnie jak strony internetowe, współpracują z sieciami reklamowymi.

W celu umożliwienia reklamodawcom gromadzenia szczegółowych informacji na Twój temat (aby mogli wyświetlać Ci spersonalizowane reklamy), aplikacje mobilne dostarczają im informacji o Twoim uradzeniu — nawet takich, których użytkowanie w celach reklamowych jest zabronione przez Google.

Które informacje mogą pomóc śledzić Twoje urządzenie z systemem Android?

Co o Twoim smartfonie mogą powiedzieć aplikacje sieci reklamowej? Po pierwsze, że są zainstalowane na urządzeniu. Dysponując tą informacją od wielu aplikacji, sieć reklamowa może dowiedzieć się, czym się interesujesz, a także które reklamy najprawdopodobniej Cię zainteresują. Na przykład jeśli robisz sobie dużo zdjęć, a na telefonie zainstalowany jest Instagram i Snapchat, mogą Ci się spodobać aplikacje oferujące filtry i efekty do zdjęć.

Dzięki identyfikatorom sieci reklamowe mają pewność, że dokładnie znają urządzenia, na których działają takie aplikacje. Każdy smartfon lub tablet z systemem Android zwykle ma kilka takich identyfikatorów — a większość z nich nigdy z założenia nie miała służyć reklamodawcom.

Na przykład unikatowy numer IMEI pomaga w zidentyfikowaniu telefonu w sieciach komórkowych i blokowania skradzionych urządzeń. Numer seryjny może pomóc znaleźć wszystkie gadżety należące do tej samej wadliwej partii w celu zwrócenia ich do sklepów. Adres MAC — kolejny unikatowy identyfikator — umożliwia korzystanie z internetu i w szczególności może zostać użyty do ograniczenia gadżetów posiadających dostęp do domowej sieci Wi-Fi. Ponadto producenci aplikacji używają identyfikatorów systemu Android (zwanych pod skrótem SSAID) do zarządzania licencjami dla swoich produktów.

Przez długi czas żaden oddzielny identyfikator reklamowy nie istniał, zatem aplikacje udostępniały wspomniane wyżej identyfikatory swoim partnerom. Z kolei użytkownicy zasadniczo nie mogli uwolnić się od spersonalizowanych reklam: IMEI lub MAC to unikatowe kody umożliwiające identyfikację dowolnego urządzenia. Za każdym razem, gdy sieć reklamowa go otrzymuje, sieć komórkowa rozumie, że aplikacja ta została zainstalowana na konkretnym telefonie.

W teorii kody te można modyfikować — do tego też istnieją aplikacje — jednak nie jest to takie łatwe. Co gorsza, naraża się w ten sposób telefon na zagrożenia. Rzecz w tym, że do podobnych eksperymentów potrzebny jest dostęp na poziomie administratora, co czyni urządzenie podatnymi na zagrożenia. Ponadto w niektórych krajach wprowadzanie zmian w numerze IMEI jest nielegalne.

Łatwiej jest zmienić identyfikator systemu Android: wystarczy zresetować swój telefon lub tablet do ustawień fabrycznych. Jednak wtedy trzeba będzie skonfigurować wszystko na nowo, w tym ponownie zainstalować wszystkie aplikacje, i zalogować się do każdej z nich. Mówiąc w skrócie, nie jest to wygodne, więc niewiele osób jest skłonne do tego kroku.

Identyfikator reklamowy — teoria

Aby osiągnąć kompromis między użytkownikami systemu Android a branżą reklamową, w 2013 roku firma Google wprowadziła specjalny identyfikator reklamowy. Usługi Google Play przypisują użytkownikom taki identyfikator, który można zresetować i utworzyć nowy w razie potrzeby (Ustawienia→ Google → Reklamy → Zresetuj identyfikator reklamowy). Z jednej strony identyfikator ten umożliwia sieciom reklamowym śledzenie zwyczajów i zainteresowań użytkownika urządzenia. Z drugiej strony — jeśli nie podoba Ci się pomysł szpiegowania przez reklamodawców, możesz z łatwością zresetować taki identyfikator w dowolnie wybranym momencie.

Według zasad sklepu Google Play reklamodawcy mogą używać do celów reklamowych tego specjalnego identyfikatora reklamowego (i tylko jego). Platforma ta nie zabrania łączenia tego identyfikatora z innymi, jednak aplikacje muszą w tym celu zdobyć zgodę użytkownika.

Z założenia idea ta polegała na tym, że jeśli nie masz nic przeciwko oglądaniu dopasowanych do Ciebie reklam, możesz zezwolić aplikacji na wykorzystywanie go w dowolny sposób. Jeśli jednak nie godzisz się na takie podejście, możesz zablokować łączenie tego identyfikatora z innymi i resetować identyfikator od czasu do czasu, odcinając w ten sposób swoje urządzenie od uprzednio zebranych informacji. Niestety rzeczywistość pokonała to oczekiwanie.

Identyfikator reklamowy — rzeczywistość

Badacz Serge Egelman twierdzi, że ponad 70% aplikacji dostępnych w sklepie Google Play używa co najmniej jednego dodatkowego identyfikatora, nie informując o tym. Niektóre z nich — na przykład 3D BowlingClean Master czy CamScanner zostały pobrane przez miliony osób.

Większość z nich używa identyfikatorów systemu Android, jednak przydatne są również numery IMEI, adresy MAC oraz numery seryjne. Niektóre aplikacje wysyłają swoim sieciom partnerskim co najmniej trzy identyfikatory naraz. Na przykład gra 3D Bowling używa reklamowego identyfikatora, numeru IMEI i identyfikatora systemu Android.

Takie praktyki sprawiają, że sama idea stosowania identyfikatorów reklamowych jest bezcelowy. Nawet jeśli nie chcesz być szpiegowany i resetujesz swój identyfikator reklamowy, sieć reklamowa będzie używać innych, trwalszych, aby powiązać z Twoim profilem wybrane dane.

Nawet jeśli takie zachowanie jest sprzeczne z zasadami sklepu Google Play, nie jest łatwo dowiedzieć się, które aplikacje nadużywają identyfikatorów. Firma Google sprawdza wszystkie aplikacje, zanim je zaakceptuje, ale wielu autorów znalazło na to sposób. Nawet autorzy narzędzi do generowania kryptowalut znaleźli swój sposób na przedostanie się do sklepu — nic więc dziwnego, że aplikacje, którym brak wyraźnych szkodliwych funkcji, zwykle pozostają niezauważone.

Google nie może odmówić takim aplikacjom dostępu do identyfikatorów urządzenia: są one przydatne nie tylko do wyświetlania reklam. Na przykład odmawiając aplikacjom mobilnym dostępu do identyfikatora systemu Android, Google mógłby uniemożliwić producentom aplikacji zabezpieczenie ich produktów przed nielegalnym kopiowaniem, naruszając im tym samym ich prawa.

Walka z natrętnymi reklamami

Oczywiście firma Google wprowadza sposoby mające na celu ograniczanie nadużywania identyfikatorów. Dlatego począwszy od systemu Android Oreo każda aplikacja będzie miała władny identyfikator w systemie Android. A zatem z punktu widzenia sieci reklamowej, która będzie dysponowała takim identyfikatorem zamiast reklamowym, aplikacja Instagram będzie widoczna jako zainstalowana na jednym urządzeniu, a Snapchat na innym, dzięki czemu dane te będą nie przyczynią się do dokładnego targetowania.

Jednak w ten sposób nie można ochronić numerów IMEI, numerów seryjnych i adresów MAC, a na rynku mnóstwo jest smartfonów i tabletów ze starszymi wersjami Androida, które nigdy nie zostaną zaktualizowane do systemu Android Oreo. Dlatego gromadzenie danych można ograniczyć poprzez zarządzanie aplikacjami.

  • Regularnie usuwaj nieużywane aplikacje: im mniej będzie ich na urządzeniu, tym mniej danych zbiorą sieci reklamowe.
  • Nie udzielaj zgód, które nie są niezbędne. Mimo że nie uwolnisz się w ten sposób całkowicie od szpiegowania, powstrzymasz aplikacje przed rozdawaniem Twojego numeru IMEI. W ty przypadku uprawnienie o nazwie Telefon daje aplikacji dostęp do numeru IMEI. To samo uprawnienie umożliwia aplikacjom poznanie Twojego numeru telefonu, dostęp do historii połączeń, wykonywania telefonów (na Twój koszt) itp., zatem lepiej nie zezwalaj na to uprawnienie.

Autor: Sergey Golubev z Kaspersky



Categories: Rynek, Bez kategorii, Bezpieczeństwo, Newsy, Płatności

Tags:

1 reply

Trackbacks

  1. Mobile Identity - dyskretne rozwiązanie weryfikacyjne - TECHNOSenior

Dodaj komentarz

%d bloggers like this: