Аналитическая компания Sensor Tower тайно собирает данные пользователей, которые пользуются принадлежащими ей сервисами VPN и блокировки рекламы. Об этом говорится в расследовании Buzzfeed News.
По данным издания, компании принадлежат как минимум 20 приложений для Android и iOS. Их принадлежность кому-либо не раскрывалась, однако журналисты нашли в них код, принадлежащий разработчикам Sensor Tower. Среди них — Free and Unlimited VPN, Luna VPN, Mobile Data и Adblock Focus в Google Play, приложения Adblock Focus и Luna VPN в App Store. Всего же эти приложения были загружены не менее 35 миллионов раз, утверждают в Buzzfeed.
Код, найденный в приложениях, журналисты обнаружили в профиле одного из пользователей GitHub. В нём указывается, что он создаёт приложения Android для аналитической компании Sensor Tower.
После установки приложений компании они предлагают пользователям установить корневой сертификат, который предоставляет владельцу доступ к трафику и данным, которые проходят через устройство. В Sensor Tower уверяют, что собирают исключительно анонимную информацию, а некоторые из приложений и вовсе давно не работают. При этом, как пишет Buzzfeed, приложения компании обходят ограничения Google и Apple для установки корневых сертификатов. Так, Luna VPN при запуске предлагает убрать рекламу на Youtube, установив для этого расширение Adblock, которое также принадлежит Sensor Tower. Само расширение при этом как раз содержит корневой сертификат и устанавливает его, отмечают журналисты.
По словам аналитика безопасности Android компании Malwarebytes Арманда Орозко, предоставление корневых привилегий приложению подвергает значительному риску безопасность пользовательских данных. Чаще всего рядовой пользователь блокировщиков рекламы даже не осознаёт, какие сведения его устройство передаёт неизвестно куда, и какие последствия это может повлечь, говорит он.
Sensor Tower скрывает, какими приложениями владеет, лишь в целях конкуренции на рынке, утверждает Рэнди Нельсон, глава отдела мобильных исследований компании. По его мнению, компания имеет на это право, как и на сбор анонимных данных — именно этим и занимается Sensor Tower, а установить конкретную личность по тем или иным полученным таким образом сведениям невозможно, уверяет Нельсон. Кроме того, говорит Нельсон, компания не собирает конфиденциальные данные, как пароли, логины или адреса электронных почт.
Сразу после обращения Buzzfeed в компанию Google удалила Mobile Data, а Apple — Adblock Focus, отмечают журналисты. В Apple заявили Buzzfeed, что приложения Sensor Tower нарушают политику компании, в Google от комментариев отказались.