由Zach Edwards和Lisa Levasseur进行的研究由Lisa Levasseur,Zach Edwards,Karina Alexanyan贡献者撰写:Eve Merer,Shaun Spalding
这项工作是根据Creative Commons归因于非商业 - Sharealike 4.0国际许可证的许可。要查看本许可证的副本,请访问http://creativeCommons.org/licenses/by-nc-sa/4.0/
ME2B联盟产品测试团队审核并分析了38所学校在美国的14个州使用的73所学校使用的随机样本,涵盖至少一半的人(学生,他们的家庭,教育工作者等)谁使用这些应用程序。审计方法主要包括通过评估每个应用程序中包含的SDK来检查从应用程序到外部第三方供应商的数据流。本报告详情并概述了审计结果。
分析发现,大多数(60%)的学校应用程序将学生数据发送到各种第三方。这些包括谷歌等广告平台,其中大约一半(49%)的应用程序正在向学生数据以及Facebook(14%)。平均而言,每个应用程序将数据发送到10.6第三方数据通道。
示例中的三分之二(67%)的公立学校正在向第三方向应用程序发送数据。由于公立学校最有可能利用公共资金来开发或外包的应用程序,这一发现特别令人不安 - 这意味着纳税人最有可能支付用于向在线广告平台发送学生数据的基金应用程序。此外,公立学校更有可能将学生数据送到第三方而不是私立学校(67%与57%的私立学校应用程序)。
另一个令人不安的公立学校发现:18%的公立学校应用程序将数据发送到ME2B Alliance认为非常高的第三方 - 即,进一步与可能数百或数千个网络实体分享数据的实体。本研究中的零私立学校应用程序将数据发送到任何非常高风险的第三方。
该研究还表明,Android应用程序可能比iOS应用程序发送到第三方的IOS应用程序,并且更有可能将数据发送到高或非常高风险的第三方:91%的Android应用程序将数据发送到高风险的第三方仅为IOS应用程序的26%,而20%的Android应用程序将数据发送到非常高风险的第三方,而占IOS应用的2.6%。
此外,虽然未详细检查,但分析证实,发送给第三方的数据通常包括唯一的标识符(通过移动广告标识符或女佣),从而为学生提供个人资料 - 包括13岁以下的学生 - 派对广告平台。 Apple的新AppTrackingTransparency框架[1]以及其现任IDFA的变更(Apple的广告商的移动标识符)系统减少了本研究中描述的个人资料建筑的风险。此更改增加了iOS和Android应用程序之间的“尊重间隙”,尽管它可能无法完全消除个人资料建设的风险。
令人不安的是,一旦应用程序打开了应用程序,即使应用程序未签名,分析也会发现数据被发送到第三方。在大多数应用程序中,一旦加载应用程序,第三方数据通道就启动了初始数据传输和ID同步。
研究人员估计,即使在[2]中未在[2]中,也估计了95%的第三方数据通道中的95%是活动的。
我们的研究没有包括深入了解第三方,了解这些实体是否正在适当照顾学生数据,特别是对于年龄不到13岁的儿童,鉴于1998年儿童在线隐私保护法( COPPA)概述了处理13岁以下儿童个人信息的要求.85%的学校包括在13岁以下的学生。
此外,Google Play商店和Apple App Store都不包括哪些第三方正在接收数据的详细信息,让用户没有理解他们的数据的实际方法,这可能是人们最重要的信息关于应用程序使用的知情决策。
专业组织似乎创建了99%的应用程序,只有1个应用程序似乎是基于开发人员元数据的“家庭成长”,但后者本可以由使用学校的iOS开发人员帐户上传应用程序的专业组织或承包商开发。 77%的应用程序由六个教育应用公司建造。
分析还检查了平均应用年龄,以确定隐私惯例和通知是否是最新的。该研究中的应用程序的平均年龄是11.6个月 - 应用程序大约更新。应该指出的是,在本研究的时候,自2020年12月以来,研究中的75%的IOS应用程序尚未更新 - 当Apple App Store的新隐私标签开始时,因此不包括隐私标签。
最后,在研究过程中,观察到三所学校(其中8%的学校)仅提供IOS应用程序。鉴于Apple和Android设备之间的价格差异,这种做法可能会留下一些家庭,可能会加剧“数字鸿沟”。
本研究旨在阐明具有高风险实体的数据共享的普遍性,以实现应用程序开发实践,应用通知实践的变化,并最终提供政策制定者,以确保正确的资金支持和保护到位保护我们最脆弱的公民 - 我们的孩子。
与第三方有一个不可接受的学生数据共享 - 特别是广告商和分析平台 - 在学校应用程序中。
学校应用程序 - 无论是iOS还是Android,公共或私立学校 - 不应包括第三方数据渠道。
发现IOS应用程序比Android应用更安全,并且持续改进IOS和Android应用程序之间的“隐私差距”,除非Google会产生一些更改,否则否则将扩大。
人们仍然有太少的信息,他们与他们共享数据的第三方和应用程序商店(Apple和Google Play)必须更清晰。
[1]“Apple将伊德德世界推出到令人沮丧的广告商”,风险击败,4月21日,2021年4月21日,Dean Takahashi,Https://ventureBeat.com/2021/04/21/apple-launches-the-post -IDFA-世界对令人沮丧的广告商/
[2]“你的应用程序知道你昨晚的地方,他们没有秘密秘密”,纽约时报,2018年12月10日,詹妮弗Valentino-devries等。 https://www.nytimes.com/interactive/2018/12/10/business/location-data-privacy-apps.html.
ME2B联盟是一个标准的开发组织(SDO)建立了ME2B尊重的技术规范,以确保技术对待人权。
除了支持规范的创建之外,ME2B联盟(ME2BA)除了规范中的原则,使用规范中的原则进行独立的产品测试,以便在关联技术的行为中阐明风险和危害。这个测试让人们(“ME-S”)制作更安全的技术选择,“B-S”(技术制造者)构建更安全,更尊重的技术。从联盟的产品测试经验来看,往往是这种技术的制造商可能不知道综合技术或合作伙伴的一些下游行为。简而言之,技术越来越复杂,难以具体地了解。
我们认识到,学校管理员和学校应用选择的决策者可能不是技术专家,并可能依赖软件供应商的专业知识。我们在发布这项研究方面的意图是为更安全的社会推动对学生,父母,教师,管理员,地方政府,政策制定者和教育软件的制造商的认识。作为美国的501C3非营利性,我们可以帮助任何有关利益攸关方在导航“引擎盖下”发生的情况下,以保持每个人 - 特别是我们的孩子 - 在数字世界中安全。
该研究侧重于与学校或学区相关的教育应用程序的数据共享实践。本研究包括73个应用程序的随机抽样 - 通常是一个Android和Apple对(除了仅用于Apple Apps的学校) - 来自美国的14个州的38个公共和私立学校,包括加州,夏威夷,堪萨斯州,缅因州,马萨诸塞州,明尼苏达州,密西布拉斯加,内布拉斯加州,俄勒冈州,南达科他州,田纳西州,佛蒙特州,弗吉尼亚州和华盛顿。
该研究反映了ME2B尊重的技术规范中包含的测试中的一小部分。该子集是数据完整性测试的一部分,它专注于技术的数据流动“在引擎盖下”。
对于我们的研究,联盟使用来自AppFigures.com的工具,该公司提供了一个分析公司,该公司提供了关于所有主要应用程序商店的软件开发套件(SDK),权限和其他有关移动应用程序数据的数据库。下面的图1提供了Appugures提供的SDK信息的示例。
图1:研究中使用的示例SDK信息,示出了具有多个SDK和具有没有SDK的应用程序的应用程序。
大多数移动应用程序都是用SDK构建的,它为应用程序开发人员提供了具有预打包功能模块的代码,以及直接返回SDK的第三方开发人员的潜在数据通道的可能性。只要用户打开一个移动应用程序,就几乎总是在没有明确同意的情况下立即开始在“幕后”开始“幕后”。这些SDK提供者出于各种原因使用此数据,从执行重要应用程序功能到广告,分析和其他货币化目的。
在Me2b中,第三方SDK是“隐藏B2B附属公司”,即,它们是应用程序开发人员的供应商,用户没有直接关系,但应用程序(和App Developer)。用户与App Developer具有ME2B的关系,因为通过接受应用程序的服务条款或使用条款来铭文。用户还与应用程序本身具有ME2P(ME-2-Product)的关系。 ME2P关系是用户和技术之间的持续关系。不仅用户没有与SDK提供商的直接(ME2B)关系,App用户通常无法知道隐藏的B2B附属公司是谁。用户在ME2P与SDK的关系中不知不觉。
研究方法的一个关键部分是研究移动应用中包含的SDK的数量和类型。特别是,SDK根据其危害潜力(即,滥用或信息开发)分类。 AppFigures列出了25个SDK类别的列表,而类别分配的启发式有时则不清楚[1]。 AppVigures使用的原始25个类别被融为三类:实用程序,分析和广告(或其组合)。每个SDK都根据类别中SDK的基础商业模型的性质,分为这三个类别中的一个或多个。例如,如果原始Appugures类别中列出的至少一个SDK执行与广告相关的函数,则该组被指定为广告。
另外,基于该类别中SDK的主要行为,以及由SDK滥用或利用信息引起的潜在危害,为每个类别分配了三种风险归因,媒体,高和非常高的一个。
实用程序SDK执行将预期行为提供给应用程序用户所需的功能。在我们的分析中,这些SDK风险较低。但是,鉴于信息剥削或滥用的潜力,几乎任何SDK - 特别是在此分析中的App用户年龄 - 没有危害的潜在可能会考虑实用程序SDK。此类SDKS被指定为中等风险。
Analytics SDK收集App Developer(第一方)或由SDK开发者(第三方)使用的行为分析,或通过其与其他第三方传递。分析SDK被指定为高风险,因为它们通常是唯一标识(指纹)个人或包括数据剥削的其他潜力。许多分析SDK直接支持广告网络,或者具有广告网络合作伙伴及其数据应假定与在线广告相关联。
广告SDKS明确执行数字广告功能,并包括几个Appugures指定,例如归属,深度链接,参与,见解,付款和地点等。所有广告SDK都被指定为高风险 - 特别是在对教育应用程序的这种分析中。用于广告商的数据可以包括“唯一标识符”,以唯一地标识个人(即,学生或父母),跟踪个人识别诸如用户名,电子邮件地址,位置和设备ID之类的信息遍及多个应用程序。
此外,还有一个较高的风险,称为非常高的风险。 SDK如果:
我们认为它是一个“广告平台”。对于实例,我们考虑DoubleClick,Appugures指定为效用,成为一个广告平台。
SDK出现在加利福尼亚州[2]或佛蒙特[3]数据经纪人的注册表中。在加州数据经纪人注册管理机构中发现了两个SDK:Adcolony和Inmobi。
非常高风险的SDKS通过复杂的供应侧网络(如果不是数百或数千个)通过复杂的供应侧网络进行额外的合作伙伴,同时利用唯一的移动广告标识符,允许网络中的所有参与者为人们创建独特的个人资料,跟踪人员及其跨服务和设备的信息:
Google Play Android广告ID是分配给每个Android设备的唯一标识符。根据Google,此标识符允许“广告网络和其他应用匿名识别用户”。该唯一标识符类似于分配给用户设备的可重置序列号,从而引用设备的用户。该广告ID可用于设备上的所有应用程序,而无需从用户的任何特殊权限或同意。这通常由Adtech公司使用,以将数字配置文件链接,以跟踪服务和设备的消费者。 [5]
作为最终评估,检查每个SDK的高级功能以验证分析中使用的风险归因。
例如,例如,在维基百科(HTTPS://EN.Wikipedia.org/Wiki/Gigya)中定义的Gigya作为“客户身份管理”公司,以AppVigure为映射SDK。
[4]“失控:消费者如何被在线广告业被利用”,挪威的消费者委员会,1月14日,2020年,第35-39页。 https://fil.forbrukerradet.no/wp-content/uploads/2020/01/2020-01-14-Of-Control-final-version.pdf.
所包括的SDK性质所证明的外部数据共享的风险 - 特别是检查与每个SDK的风险归属相关的趋势,
大多数,如果不是全部,该应用程序似乎是通过帐户创建唯一识别应用程序的用户,以便发送消息,上传照片或流程付款,这意味着该应用程序正在收集个人识别信息(PII),例如姓名,年龄和其他信息。
Android Play商店列出了每个Android应用程序的所有请求的权限。大多数(几乎所有的)审查的Android应用程序旨在访问以下设备的以下信息:
作为移动广告标识符(女佣),在Adtech Industry中已知的身份; Android指的是,这是一个“广告ID”,iOS指的是作为“IDFA”
此外,几乎所有应用程序也默认访问网络数据。 IP地址是阻止设备难以努力的数据字段,而虽然有扩展的网络访问权限(网络上的设备,访问自定义端口等),但应始终假设某些版本的网络数据访问(并与第三方共享)。
当用户授予所请求信息的许可(上面列出)时,那么应用程序和所有SDK都可以访问它。因此,它是应用程序和SDK可以访问的信息,但不能保证它。
这种定性审查由应用程序收集和生成的信息类型表明,可能会与第三方共享的大量信息。
大多数(60.3%)的应用程序(73分中为73个)至少安装了一个SDK,并与第三方共享私人学生数据。
包含SDK的应用程序,平均数为10.6个SDK。 (见图2.)注意,多个SDK可以来自单个开发人员,因此此数字不等同于与其共享数据的第三方数量,这是较低的。
与具有SDK(10.8)的公共学校应用程序相比,包括SDK的私立学校应用程序(13.8)的平均SDK数量较高(13.8)。 (见图2.)
与iOS应用程序(8.5)相比,Android应用程序包括每个应用程序(13.4)的显着更高的SDK数,这是一般在比较Android和iOS应用程序时看到的典型模式。 (见图2.)
图2:应用程序类型:应用程序类型的图2:每个应用程序的平均SDK数为至少一个SDK
经常 - 大约20%的时间 - 超过15个,有时在一个应用程序中有多达20个SDK。图3中的直方图显示了通过包括SDK的数量的应用分发。
在与第三方共享数据的44个应用程序中,73%是Android应用程序。
在与第三方共享数据的44个应用程序中,三分之二(66%)是公立的应用程序。
在我们研究中的学校,85%的学生在13岁以下的学生。此分析并没有办法了解这些第三方SDKS如何跟踪和处理13岁以下儿童信息的方式。此外此次研究未探讨应用程序开发人员和提供SDK的公司之间的许可管理实践,以及如果权限控制从第一方应用流向第三方(在应用程序的ATT框架的支持之前)。根据我们的研究结果,必须假设我们分析中发现的广泛的外部数据共享行为包括来自13岁以下儿童的个人数据。
学校应用程序的另一个关键问题是,学校/地区的客户是应用程序开发人员的客户,其中几个应用程序开发人员隐私政策声明了学生信息和对其所属的控制 - 而不是应用程序开发人员。这令人困惑,因为[至少在GDPR的白话中],App开发人员似乎是数据控制器。
鼓励地,谷歌拥有一个家庭广告计划[1]作为他们为孩子们建立更安全的Google Play商店的行动的一部分[2]。然而,三个SDK在本研究中指定了非常高的风险(ADColony,Admob和Inmobi)和一个高风险(Flurry)包含在当前的自我认证的“家庭友好”广告SDK列表中,并列出了Hasn' T在几年内更新。此外,Inonsource,Vungle,Unity和Chartboost都是SDK开发者被告(参见第4.7节),最近在加利福尼亚州北部的结算中,这应该给谷歌充分激励举办其家庭广告计划。
除了先前提到的事实外,Android应用程序每个应用程序的SDK多于IOS应用程序,IOS和Android应用程序之间存在额外的观察。
IOS应用程序更有可能包括没有SDKS - 即,与Android应用程序的数据共享“清洁”。 68%的 ......