Приложение «ВКонтакте» следит за пользователями

Приложение отправляет на сервер действия пользователя, а также местоположение устройства

Российский студент и программист Владислав Велюга отсниффил программой Shark for Root трафик мобильного приложения «ВКонтакте» и опубликовал результаты расследования (часть 1 ^[1], часть 2 ^[2]). Он пишет, что раньше в результатах сниффинга не было ничего необычного, а сейчас появилось. Сейчас соцсеть начала передавать на сервер так много данных буквально о каждом действии пользователя, что это можно назвать слежкой.

К сожалению, теперь в официальную версию клиента включены следящие модули, в том числе myTracker от Mail.ru (скриншот ^[3] после декомпиляции APK-файла).

Владислав исследовал версию официального клиента 4.12.1 для Android.

Исследование показало, что на сервер «ВКонтакте» передаются практически все действия пользователя при работе с приложением. При этом необходимость сбора многих данных трудно объяснить (хотя можно понять, если подумать, зачем это нужно серверу). Например, при заходе в раздел «Аудио» передаются геоданные, а в разделе с видеозаписями передаётся информация о таких событиях как «volume_on», «volume_off», «fullscreen_on», «fullscreen_off» (переход и выход в/из полноэкранного режима), событие «video_play», которое просто отсылает текущую позицию просмотра видео, где-то с периодичностью 10-20 секунд.

В других случаях передаётся информация о ближайших точках доступа WiFi, подгружаются метрики через невидимую WebView и т. д. Техподдержка «ВКонтакте» ответила ^[4], что отказаться от сбора этих данных «не получится, так как для работы приложения все эти сведения необходимы».

Автор исследования подчёркивает, что в неофициальном клиенте VK Coffee (модификация официального, с вырезанными метриками и пр.) таких сливов замечено не было.

Сам автор VK Coffee Эдуард Безменов прокомментировал: «Самый ад то, что libverifyот мыла.ру собирает серийники sim-карт, а mytracker — lac и cid». Он сказал, что слив подобных данных во «ВКонтакте» он наблюдал и раньше, и в его модификации клиента эта функция давно отключена.

Позже в комментарии для газеты «Ведомости» представитель компании Евгений Красников объяснил ^[5], что «ВКонтакте» никогда не скрывала, что собирает такую информацию для рекламы, оптимизации, рекомендаций. Другая информация тоже необходима. Например, по смене идентификационного кода sim-карты можно понять, менялся ли у пользователя телефон, и решить, отправлять ли ему код для валидации. Местоположение при прослушивании аудиозаписей нужно запрашивать из-за требований правообладателей и т. д. Да и вообще, все популярные приложения собирают подобные персональные данные, иначе они проиграют конкурентам.

Автор: alizar

Источник ^[6]