Badanie Mozilli: Etykiety bezpieczeństwa danych najpopularniejszych aplikacji w sklepie Google Play są fałszywe lub wprowadzają w błąd

Badacze z zespołu *Prywatność do nabycia osobno znaleźli rozbieżności między etykietami bezpieczeństwa danych w sklepie Google Play a politykami prywatności niemal 80% aplikacji objętych badaniem

Zgodnie z etykietami bezpieczeństwa danych w sklepie Google Play ani TikTok, ani Twitter nie udostępniają danych osobowych użytkowników podmiotom trzecim. Jednak w politykach prywatności obu tych aplikacji wprost określono, że dane użytkowników udostępniane są reklamodawcom, usługodawcom internetowym, platformom i wielu innym rodzajom firm.

To dwa z najbardziej skandalicznych przykładów ujawnionych przez badaczy z zespołu *Prywatność do nabycia osobno Mozilli. Przeprowadzone badanie miało na celu określenie, czy etykiety w nowej sekcji Bezpieczeństwo danych w sklepie Google Play zapewniają konsumentom precyzyjne informacje na temat tego, jak aplikacje gromadzą, wykorzystują i udostępniają dane osobowe. Mozilla ustaliła, że w przypadku niemal 80% aplikacji objętych badaniem etykiety są fałszywe lub wprowadzają w błąd. Takie wnioski opracowano na podstawie rozbieżności między politykami prywatności aplikacji a informacjami wprowadzanymi samodzielnie przez aplikacje w formularzu Google dotyczącym bezpieczeństwa danych. Badacze ustalili, że system ten nie pomaga klientom podejmować świadomych decyzji dotyczących prywatności przed zakupem lub pobraniem jednej z 2,7 miliona aplikacji dostępnych w sklepie.

W ramach badania — „See No Evil: How Loopholes in the Google Play Store’s Data Safety Labels Leave Companies in the Clear and Consumers in the Dark” („Przyzwolenie na zła czynienie, czyli jak firmy umywają ręce dzięki lukom w zasadach dotyczących etykiet bezpieczeństwa danych w sklepie Google Store, a konsumenci żyją w nieświadomości”) — ujawniono poważne luki w formularzu dotyczącym bezpieczeństwa danych, które ułatwiają aplikacjom dostarczanie fałszywych lub wprowadzających w błąd informacji. Na przykład Google zwalnia aplikacje udostępniające dane „usługodawcom” z obowiązku ujawnienia wymaganych informacji. Kwestia ta jest problematyczna ze względu na dużą ilość danych konsumentów oraz zastosowanie wąskiej definicji „usługodawcy”. Google zwalnia siebie z odpowiedzialności za weryfikację, czy wprowadzone informacje są prawdziwe, oświadczając, że to aplikacje odpowiadają „za podanie kompletnych i poprawnych deklaracji” w etykietach bezpieczeństwa danych.

W ramach badania Mozilla porównała polityki prywatności i etykiety 20 najpopularniejszych aplikacji płatnych i 20 najpopularniejszych aplikacji darmowych w sklepie Google Play. Każda aplikacja otrzymała następnie ocenę „Niedostateczna zgodność”, „Wymaga poprawy” lub „OK”. W przypadku aplikacji, które otrzymały ocenę „Niedostateczna zgodność”, występowały znaczne nieścisłości informacji w formularzu Bezpieczeństwo danych pod względem rodzajów udostępnianych lub gromadzonych danych albo celów, w jakich dane te są udostępniane lub gromadzone. Polityki prywatności aplikacji, które otrzymały ocenę „OK”, były w dużym stopniu zbieżne z informacjami podanymi w formularzu Bezpieczeństwo danych. Z kolei aplikacje z oceną „Wymaga poprawy” można umieścić po środku tej skali. Wyniki badania są następujące:

• W przypadku niemal 80% aplikacji objętych badaniem Mozilla znalazła pewne rozbieżności między polityką prywatności aplikacji a informacjami podanymi w formularzu Google dotyczącym bezpieczeństwa danych.
• 16 na 40 aplikacji (czyli 40%) otrzymało ocenę „Niedostateczna zgodność”, w tym Minecraft, Twitter i Facebook.
• 15 aplikacji (czyli 37,5%) otrzymało ocenę średnią, „Wymaga poprawy”, w tym YouTube, Google Maps, Gmail, WhatsApp, Messenger i Instagram.
• Jedynie 6 z 40 aplikacji (czyli 15%) otrzymało ocenę „OK”. Były to następujące aplikacje: Candy Crush Saga, Gry Google Play, Subway Surfers, Stickman Legends Offline Games, Power Amp Full Version Unlocker oraz League of Stickman: 2020 Ninja.
• W przypadku 3 aplikacji — UC Browser - Safe, Fast, Private, League of Stickman Acti i Terraria — formularza w ogóle nie wypełniono.

„Konsumenci cenią sobie prywatność i chcą podejmować mądre decyzje, pobierając aplikacje. Etykiety bezpieczeństwa danych Google miały im w tym pomagać. Niestety tak nie jest. Obawiam się, że etykiety te bardziej szkodzą, niż pomagają” — twierdzi Jen Caltrider, kierownik projektu w Mozilli. „Krew mnie zalewa, gdy widzę, że zgodnie z etykietami bezpieczeństwa danych aplikacje takie jak Twitter czy TikTok nie udostępniają danych podmiotom trzecim, bo to całkowita nieprawda. Oczywiście, że Twitter i TikTok udostępniają dane podmiotom trzecim. Konsumenci zasługują na więcej. Google musi się bardziej postarać”.

„Etykiety bezpieczeństwa danych w sklepie Google Store dają użytkownikom fałszywe poczucie bezpieczeństwa. Rzetelne etykiety z informacjami o wartości odżywczej produktów pomagają nam lepiej się odżywiać. Już czas, żeby rzetelne etykiety bezpieczeństwa danych pomogły nam lepiej chronić naszą prywatność” — dodaje Caltrider.

Caltrider zwraca uwagę, że w ramach dochodzenia przeprowadzonego w 2021 r. przez „Washington Post” ujawniono podobne problemy z etykietami w sklepie Apple App Store. W związku z tym trzeba się zastanowić, czy Google i Apple są w stanie bezstronnie stać na straży bezpieczeństwa aplikacji w swoich sklepach. W 2021 r. sklepy Google Play i App Store wygenerowały dzięki aplikacjom mobilnym odpowiednio około 48 miliardów USD oraz 60 miliardów USD przychodu brutto. Wkrótce po tym, gdy administracja prezydenta Bidena oskarżyła oba sklepy z aplikacjami o pełnienie „roli cenzora poprzez kontrolowanie (i ograniczanie) sposobu dystrybucji aplikacji”, Caltrider oświadczył, że branża technologiczna musi podjąć odpowiednie kroki, aby stworzyć jednolite etykiety prywatności danych na wzór etykiet z informacjami o wartości odżywczej, umieszczanych obecnie na opakowaniach produktów i menu restauracji typu fast food.

„Historia etykiet z informacjami o wartości odżywczej pokazuje, że możliwe jest stworzenie jednolitego systemu, który zakorzeni się w kulturze i wpłynie pozytywnie na codzienne życie nas wszystkich” — twierdzi Caltrider.

Mozilla radzi, aby Google i Apple wdrożyły na swoich platformach jednolity, standardowy formularz systemu prywatności danych, aby rozwiązać ten problem. Mozilla uważa również, że firmy powinny podejmować bardziej radykalne działania wobec aplikacji, które nie spełniają wytycznych, lepiej wyjaśniać ewentualne konsekwencje niespełnienia wymagań oraz w pewnym stopniu ponosić odpowiedzialność za zapewnienie rzetelności informacji przekazywanych przez aplikacje.

Badanie zostało przeprowadzone w ramach ciągłej inicjatywy Mozilli o nazwie *Prywatność do nabycia osobno, czyli projektu, który ma dwa cele: zapewnienie konsumentom informacji niezbędnych do ochrony swojej prywatności oraz skłonienie branży technologicznej do zwiększenia ochrony oferowanej konsumentom. Od 2017 r. w ramach projektu Mozilli zweryfikowano zasady prywatności i bezpieczeństwa ponad 100 aplikacji i 300 urządzeń łączących się z Internetem.