В день выхода на израильский рынок российской компании «Яндекс Такси» местные журналисты задались вопросом, насколько безопасно пользоваться этим сервисом. Крупная компания, имеющая связи с правительством авторитарного государства, вызывает у израильтян понятное недоверие.
Обозреватель «Хадашот 10» Йоси Леви, сообщает израильской аудитории, что летом этого года власти Литвы запретили государственным служащим устанавливать аппликацию Yango и сильно не рекомендовали ее использование остальным гражданам: национальный штаб кибер-безопасности счел программный продукт «Яндекс» потенциальным средством шпионажа.
Все смартфонные приложения требуют от нас разрешения на доступ к множеству различных данных, хранящихся в памяти телефона. Как видно из сравнительной таблицы, опубликованной Йоси Леви, аппликация Yango более «любознательна», чем ее израильские аналоги, — и требует при скачивании разрешения на некоторые странные и необъяснимые действия.
Первое отличие Yango от израильских конкурентов заключается в требовании разрешения добавлять и удалять аккаунты (add or remove accounts). Автор «Хадашот 10» считает такое требование вопиюще необъяснимым: «С какой стати платформа такси будет создавать новые аккаунты на моем смартфоне?»
Однако как раз в данном случае опасаться, в общем, нечего: речь идет не о доступе к общим аккаунтам на вашем смартфоне, а о внутреннем устройстве самой аппликации, которое облегчает авторизацию пользователей. Такие внутренние механизмы часто используются крупными интернет-платформами типа Amazon.
Но Yango отличается от других платформ не только желанием «добавлять и устранять аккаунты». Это единственная из трех аппликаций такси, которая при установке требует разрешения считывать статус и идентификацию телефона (Read phone status and identity). Авторы руководства по кибер-безопасности на сайте Androidcentral категорически не рекомендуют скачивать приложения, требующие доступа к этим данным.
«Это наиболее подверженное злоупотреблениям и наименее объяснимое требование из всех», — поясняют эксперты. — Вам следует понимать, что вы даете разрешение на две принципиально разные вещи, которые не должны быть слеплены воедино.
Ваш телефон может обеспечивать уникальную идентификацию двояким способом. У каждого аппарата есть уникальный идентификатор, отличающий его от всех остальных и при этом не раскрывающий никакой личной информации… Этим ID мы охотно делимся, поскольку он дает информацию только об аппарате и его программном обеспечении, никакие ваши личные данные не раскрываются.
Но разрешение «считывать идентичность» аппликации требуют и для получения другого уникального идентификатора — вашего номера IMEI. Посредством номера IMEI ваша телефонная компания связывает ваш телефон с вами — вашим адресом, именем и остальными данными, которые вы предъявили при покупке телефона, чтобы удостоверить свою личность. Получить эти данные трудно — между ней и вашим аккаунтом стоят минимум три сервера с зашифрованными базами данных, — но не невозможно… Поэтому нам не следует давать доступ к номеру IMEI». В заключение следует однозначная рекомендация: не устанавливать смартфонные аппликации, требующие разрешения Read phone status and identity, если вы точно не знаете, зачем им эти данные, и как они будут использоваться.
Фото r. nial bradshaw