抽查发现Apple App Store中的许多应用带有不正确的隐私营养标签,低估了它们收集的数据量

2021-01-29 23:25:46

您可以前往iPhone的App Store下载游戏。在上个月添加的新的“应用程序隐私”标签下,有一个蓝色的复选标记,表示该应用程序不会共享您的数据。它说:“未收集数据。”

不必要。我下载了一个名为Satisfying Slime Simulator的减压应用程序,该应用程序获得了App Store最高级别的隐私标签。事实证明,这是一种错误的做法,是向Facebook,Google和其他公司秘密发送信息(包括跟踪我的iPhone的方式)。在幕后,应用程序可以是数据吸血鬼,探测我们的手机以帮助定位广告或向数据公司甚至政府出售有关我们的信息。

在我撰写本专栏文章时,Apple仍然没有一个令人满意的“史莱姆”标签。这不是唯一的欺骗。当我在App Store中抽查了数十个应用程序关于隐私的声明时,我发现有十几个应用程序具有误导性或完全不准确。其中包括受欢迎的游戏Match 3D,社交网络Rumble甚至是PBS Kids Video应用。 (不是这样,Elmo!)Match和Rumble现在都改变了标签,PBS改变了其应用程序与Google交流的方式。

Apple仅允许您通过自己的App Store访问iPhone应用程序,该程序可以确保一切安全。当它在2020年宣布将要求应用程序制造商填写实质上是隐私营养标签的东西时,似乎支持了这一想法。就像包装食品必须披露其含糖量一样,应用程序也必须明确披露它们如何吞噬您的数据。标签显示在应用列表底部的框中​​。

但是在研究了标签之后,App Store如今已成为我对保护我们不那么信任的产品。在某些方面,苹果公司使用的狭义隐私权使苹果公司受益-它有自己的获利动机-而不是给我们带来更多好处。

苹果公司的大型隐私产品建立在摇摇欲坠的基础上:荣誉系统。苹果在每个应用程序标签的详细信息页面上的小字体中表示:“此信息尚未得到苹果公司的验证。”

第一次阅读时,我做了双重看法。苹果公司表示,关心我们的隐私是“核心责任”,当然知道不能依靠恶魔般呵护的数据收集器来表现出色。苹果去年在App Store上的收入估计为640亿美元,而苹果则承担了其发布内容的责任。

的确,仅通过要求应用突出显示数据做法,Apple便超越了Google竞争对手的Android手机Play商店。它还承诺不久将使应用程序寻求追踪我们的许可,Facebook称这是滥用苹果对App Store的垄断。

苹果公司女发言人凯蒂·克拉克-阿尔萨德(Katie Clark-AlSadder)在一封电子邮件中说:“苹果公司对提供的信息进行例行和持续审核,我们与开发商合作纠正任何不正确之处。无法正确披露隐私信息的应用程序可能会拒绝以后的应用程序更新,或者在某些情况下,如果不符合要求,则将其从App Store中完全删除。”

即使正确填写,Apple的隐私标签中有哪些允许应用程序不告知我们而逃脱?

精通技术的《华盛顿邮报》(Washington Post)读者提供的一条小技巧帮助我意识到了一些腥味。他使用的日记应用程序声称不收集任何数据,但是使用一些技术工具,却发现它对Google造成了极大影响。

为了测试隐私标签是否掩盖了事实,我重复了我在2019年在自己的iPhone上进行的实验的一部分。监视作战公司Disconnect生产的名为Privacy Pro的软件会强制您的手机数据通过本地虚拟专用网络进行记录并阻止与跟踪器的连接。

对于应用程序制造商来说,将称为软件开发工具包(SDK)的代码嵌入到将您的数据发送给其他公司的应用程序中已变得极为普遍。 Privacy Pro捕获了部分活动。

对我以及可能对Apple来说,最清晰的测试是使用具有最高隐私级别的标签(“未收集数据”)来探测这些应用程序。这些是带有蓝色复选标记的应用程序,不应将数据发送给自己以外的任何人。

我使用搜索引擎发现了声称它们完全干净的应用。在使用Privacy Pro测试它们之后,我请Disconnect的首席技术官,前国家安全局研究员Patrick Patrick Jackson对某些可疑应用程序进行了更深入的分析。

我们寻找的一件事是有证据表明应用程序发送了我手机的唯一ID(称为Apple IDFA)。对于想要追踪您的公司来说,这就是王国的钥匙-与您的姓名或社会安全号码几乎一样重要-允许他们将从一个应用程序获取的数据与许多其他来源连接起来。

应用声称其根本不获取任何数据的一些亮点(或者,我应该说是低光):

满意度史莱姆模拟器(适用于4岁及以上的年龄)正在与Facebook,Google和一项名为GameAnalytics的服务共享一种识别我的iPhone和其他设备属性的方法。不仅是我的手机ID,还有我的电池电量,可用存储空间,一般位置甚至音量,这都是向游戏开发商的软件提供商Unity发出的。我从没听说过该应用程序的制造商。

社交网络Rumble还向Facebook和Google发送了一个ID(可用于跟踪我的手机)以及有关我如何使用该应用程序的其他数据。 Rumble并未回复我的电子邮件,但在1月中旬更改了其隐私标签,以表明它收集了更多数据。

旅游应用Maps.Me不仅将我的ID和其他数据发送给Google和Facebook,还向应用分析公司Flurry和俄罗斯互联网公司Mail.ru发送了信息。该应用程序的所有者安德烈亚斯·康斯坦丁尼德斯(Andreas Constantinides)说,他的公司去年从Mail.ru购买了该应用程序,并且正在更新其做法和标签。

我们错误地发现没有数据的其他应用程序包括FunDo Pro(此后未更改其标签)以及PlayerXTreme,Instdown和Whats Direct Chat和Web,所有这些都更改了标签。

这四个皮诺奇的谬论仅仅是故事的开始。然后,我开始对应用程序进行抽查,这些应用程序声称它们收集了一些有限的数据,但没有使用它来跟踪您。

在我家中,我们玩了很多流行的Match 3D游戏,该游戏挑战大脑在拥挤的页面上寻找事物。它的标签声称只接受了“未链接到您的数据”。但是我们发现它为我的手机发送了一个ID,可以用来跟踪我到十几个不同的公司。该应用的制造商没有回应我,但在与我联系后确实更改了标签,以确认收集了“用于跟踪您的数据”。

明确地说,我不知道苹果隐私标签上的虚假信息有多普遍。我的示例不一定具有代表性:大约有200万个应用程序,而且一些大公司(如Google)甚至还没有发布标签。 (只要求他们进行新的更新即可。)我检查过的三分之一声称声称没有使用任何数据的应用中,大约有三分之一似乎是不准确的。杰克逊说:“苹果是唯一能够在所有应用程序上做到这一点的人。”

但是,如果新闻工作者和才华横溢的怪胎仅通过敲几块石头就能发现这么多问题,那为什么苹果不呢?

即使在我将可疑应用程序列表发送给它之后,苹果也不会回答我的具体问题,包括:它发现了多少坏应用程序?如果不知情意味着您可以启动,为什么我标记的某些功能仍然可用?

除了欺骗之外,还有另一个问题:Apple的标签甚至有帮助吗?

对于那些花时间去比较店的人来说,隐私标签可以揭示应用程序获取我们信息的方式的差异。通常,收集较少数据的应用程序对消费者而言要好于收集更多数据的应用程序。适用于Facebook的详细的App Store隐私标签可扩展到14个屏幕,给我们留下了深刻的印象,那就是我们正在经历数字化变革。

但是,在允许公司自行定义什么才是“隐私”的过程中,存在着巨大的力量-以及数十亿美元的收入。苹果的定义对于许多人来说可能不是常识。

您可以在我与PBS在一起的来回中发现标签的柔滑感,这是有关其流行的PBS Kids Video应用程序的应用商店列表的信息。我们发现该应用将我的手机ID发送给了Google,尽管该应用的标签上说它没有收集可以链接到我的数据。 PBS告诉我,该标签反映了该应用程序的最终更新,该应用程序最终于1月28日发布,在该应用程序中,Google不再收到我的ID,但仍可以帮助PBS评估性能。

即使进行了更新,该标签仍然缺少一条重要信息:内部装有Google。

实际上,在Apple的任何隐私标签上都没有发现与谁共享应用程序数据的信息。想象一下,营养成分标签是否使整个有关成分的章节都没有了。

具有讽刺意味的是,还有一家更透明的科技巨头:Facebook。通过2020年启动的一项名为“非Facebook活动”的设置,您实际上可以看到将您的数据馈送到Facebook的所有不同应用和网站,并要求社交网络停止使用这些数据以广告为目标。

苹果对隐私的定义在其他方面也很狭窄。例如,隐私标签似乎认为“跟踪”仅限于目标广告,广告度量和数据代理。 Disconnect的首席执行官Casey Oppenheim告诉我,包括与政府共享数据,“这为符合任何合理的跟踪定义的许多行为敞开了大门。”

切断Facebook和Google追踪我们的能力可能会使Apple受益,Apple同样收集有关您的数据,并且在App Store中拥有自己的销售广告的业务正在增长。

我绝不幻想将隐私弄清楚是一个容易解决的问题。按照自己的描述,Apple的标签正在进行中。仅向应用商店添加更多信息并不能真正帮助大多数人。实际上,让我们不知所措的选择和工作是这些公司逃避说要给我们“控制权”,同时仍在吸收我们的数据的一种方式。

我们需要帮助来抵御监视经济。苹果的App Store做得不够,但是我们也别无选择。苹果坚持要垄断iPhone和iPad的应用商店。在去年夏天向国会作证时,苹果首席执行官蒂姆·库克(Tim Cook)辩称,仅苹果公司就能保护我们的安全。

生产可能危害消费者的产品的其他行业也不一定要自己编写规则。美国食品药品监督管理局为营养标签设定标准。我们可以辩论它是否擅长执法,但是至少当每个人都必须使用相同的标签时,消费者才能明智地阅读它们-如果公司不说实话,公司将受到法律的惩罚。

苹果的隐私标签不仅是令人不满意的产品。他们还应该向立法者发送信息,权衡技术行业是否可以被信任来独自保护我们的隐私。

尽管我们从技术中获得了很多好处,但它也可以从我们身上获得很多收益。 《华盛顿邮报》的技术专栏作家杰弗里·福勒(Geoffrey A. Fowler)研究了从我们视为理所当然的设备和服务中流出的个人信息。

iPhone和Android手机:即使您和手机处于睡眠状态,应用程序中的隐藏跟踪器也会共享个人信息。

信用卡:从您的银行到您要购物的商店,有六家公司可以获取有关购买的数据。

电视:每隔几分钟,智能电视就会向您展示屏幕上的内容的快照。 汽车:汽车制造商使用数百个传感器和始终在线的互联网连接来记录您的去向和驾驶方式。 网络浏览器:Google的Chrome浏览器在一周内就将超过11,000个跟踪器Cookie加载到了我们的浏览器中。 浏览器扩展:加载项和插件可以查看和共享您在Web上所做的一切。 不要出售我的数据:《加州消费者隐私法案》(CCPA)甚至可以帮助其他州的居民查看和删除其数据,并告诉公司停止出售这些数据。 展示更多