В конце февраля Рижская муниципальная полиция представила свое мобильное приложение, которое позволяет оперативно сообщить о преступлении или нарушении, приложив фото или видео. Портал Delfi выясняет, нет ли в программе скрытых возможностей, которые позволяют ей намного больше, чем рекламируется. Проще говоря — не шпионит ли она за пользователем.
О том, что в программе есть кое-что подозрительное, 9 марта написала газета Diena. Автор статьи сообщил, что в соглашении пользователя имеется странный пункт, согласно которому "Рижская муниципальная полиция (RPP) получает и хранит информацию, используемую в браузере пользователя (включая IP-адрес, cookie-файлы) и данные о мобильном устройстве (например, модель, операционную систему, параметры, сеть оператора связи и т.д.)".
В RPP объяснили, что эти правила были скопированы из правил пользования сайтом полиции. Разработчик программы, компания RATE Business Solutions, заявила, что таких функций в приложении нет. Это, вероятно, правда — мобильные приложения обычно не имеют доступа к "кукам" в браузере, а мобильная программа RPP использует браузер только для открытия сторонних сайтов и сервисов. Позже правила использования программы обновили, и теперь они совершенно явно написаны именно для мобильной программы. Процитированного выше пункта в них нет.
Однако "ложечки нашлись, а осадочек остался". Поэтому портал Delfi решил более внимательно изучить все, что связано с приложением.
Что из себя представляет программа муниципальной полиции?
Это мобильное приложение для Apple iOS и Google Android, оно так и называется — "Рижская муниципальная полиция" (RPP). В нем есть четыре основные возможности — посмотреть номера телефонов, отправить сообщение с фото, отправить сообщение с видео и найти на карте ближайшее отделение полиции. Сделать это можно анонимно или как зарегистрированный пользователь. Во втором случае можно поучаствовать в "Топе" наиболее активных помощников полиции. На момент написания материала у лучшего участника было 100 сообщений. В программе также есть ссылки на сайт RPP и ее профили в социальных сетях.
Визуально приложения для Apple iOS и Google Android идентичны. Архитектурно они также могут быть одинаковыми, а вот технически они точно разные, поскольку написаны для разных платформ.
Кто является создателем программы?
Латвийская компания RATE Business Solutions, которая, если верить информации на ее сайте, не имеет опыта создания государственных систем, работающих с чувствительными данными. В ее портфолио единственным муниципальным заказом является разработка сайта для самоуправления Бауски. Государственных заказов нет вовсе. Обращает на себя внимание также тот факт, что на странице программы RPP нет никаких упоминаний об android-версии, хотя в магазине Google Play распространение программы ведется именно от ее имени. В пользовательском соглашении сказано, что все права на программу — у RPP.
После исправления пользовательского соглашения там все "чисто"?
Пользовательское соглашение одинаково для Android- и iOS-версий и, в общем и целом стандартно и вполне логично. Однако там есть один пункт, который обращает на себя особое внимание, а именно: RPP оставляет за собой право показывать пользователю программы "рекламу третьих сторон". С этим пунктом связан другой — в момент отправки сообщения передаются не только текущие координаты пользователя, но и "идентификатор мобильного устройства". Интересно и то, что RPP оставляет за собой право передавать полученную информацию другим государственным структурам (если подозревает, что информация связана с нарушением интересов третьих лиц или самого ведомства). То есть пользователь может ненароком свидетельствовать и против себя или же передать данные тому, кому не собирался.
С каких пор полиция превратилась в рекламное агентство?!
Она не превратилась — мы не верим в то, что муниципальная полиция действительно будет показывать рекламу. Но "рекламный" механизм в программу, скорее всего, действительно встроен — на это прямо указывает тот факт, что в момент передачи сообщения в RPP, как явствует из пользовательского соглашения, получает "идентификатор мобильного устройства".
В случае с Google Android технически его правильнее было бы называть "Advertising ID". С лета прошлого года и Apple, и Google запретили программам получать и передавать настоящие индентификаторы мобильных устройств (потому что по ним можно было вычислять и отслеживать конкретные устройства). Вместо этого они встроили в свои ОС "рекламные" идентификаторы, представляющие собой случайный набор букв и цифр, который генерируется в момент первого запуска устройства и не меняется до выполнения определенных процедур (о них ниже).
Это нужно для того, чтобы рекламодатели знали, кому они показали рекламу, а кому нет. Кроме того, это позволяет организовать кросс-программные показы рекламы, а также получить какое-то представление о пользователе. С их помощью почти невозможно вычислить конкретную личность, но с высокой долей вероятности можно предположить, что за этим набором букв и цифр стоит, например, рижанка в возрасте от 25 до 35 лет, которая является поклонницей определенного обувного бренда (потому что поставила его приложение) и любит ту или иную сеть ресторанов.
Что полиция может узнать обо мне с помощью этого идентификатора?
Если RPP будет сотрудничать с крупными рекламными агентствами, то она вполне может получить "профиль" пользователя — примерное представление о его поле, возрасте, интересах, месте жительства и т.д. Если нет — она, как минимум, будет знать, отправлял ли пользователь другие сообщения с этого устройства (даже если он делал это анонимно). Пункт в соглашении об использовании "рекламы третьих лиц" указывает на то, что сотрудничество с агентствами не исключается.
Может ли полиция меня четко и однозначно идентифицировать?
С помощью идентификатора — нет, с лета прошлого года это абсолютно исключено. Отметим, однако, что передается не только идентификатор, но и GPS-координаты. Записывается также точное время (это, кажется, очевидно). Поэтому если случится так, что вы отправляете сообщение, стоя перед городской камерой наблюдения (которых у нас, по мнению Полиции безопасности, слишком мало), то да, вас, при необходимости, позже смогут вычислить. Здравый смысл все же никто не отменяет.
Почему полиция ничего об этом не говорит?
Пользователям не нравится, когда за ними следят. Не нравится, даже если это делается из каких-то соображений высшего порядка (коллективная безопасность и т.д.). По нашему мнению, на деле не имеет значения, как и что полиция может говорить по этому поводу, потому что очевидно, что ее интересы и интересы пользователя в данном случае кардинально отличаются — стражи порядка хотят получить как можно больше информации, а анонимный осведомитель хочет сообщить о себе как можно меньше информации. Это неразрешимый конфликт.
Могу ли я как-то скрыть или удалить этот идентификатор?
Пользователи Apple iOS могут пройти в пункт "Приватность"/Privacy в настройках и в разделе "Реклама" выбрать пункт "Сбросить Идентификатор". Там же можно "Ограничить трекинг рекламы". В этом случае будет сгенерирован новый идентификатор, который ничего никому про вас не расскажет.
Пользователи Android могут проделать ту же процедуру, но только не в настройках телефона, а выбрав в списке программ Google Settings, далее Рекламу/Ads и там — аналогичные iOS пункты. Эффект будет тот же, что и в случае iOS — девственно чистая "рекламная личность".
Правильный алгоритм для желающих сохранить максимальную анонимность в этом случае будет выглядеть так:
- сбросить идентификатор;
- отправить сообщение полиции;
- еще раз сбросить идентификатор.
Могу ли я как-то ограничить передачу своих координат?
Можно запретить программе использовать геолокацию (при запуске она об этом даже спрашивает). Но полностью это не отключается, так как приложение продолжит использовать определение местоположения устройства по точкам доступа Wi-Fi. Это значительно менее точно, но примерные координаты в полицию все равно будут отправлены.
Есть ли какие-то странности в приложении для iOS?
Мы ничего не обнаружили.
Есть ли какие-то странности в приложении для Android?
Да, есть — программа требует, на первый взгляд, ничем не оправданные права в системе. Это видно уже при инсталляции, но если после установки пройти в настройки программ (Settings — Application manager –RPP) и прокрутить экран вниз до раздела Permissions, то можно обнаружить, что программа, помимо всего прочего, может:
- совершать звонки без уведомления и участия пользователя;
- считывать любую информацию с SD-карты;
- получить список всех учетных записей во всех программам на устройстве;
- создавать отдельные сетевые подключения без уведомления пользователя.
В этом списке не указываем привилегии программы, которые, по нашему мнению, нужны ей для нормально работы — мы выделили только те, что кажутся "странными". Мы также не утверждаем, что программа делает что-то из вышеперечисленного, но чисто технически возможность делать "что не то" у нее есть. Кроме того, хорошим тоном считается "расписывать" в описании программы, почему и для чего ей нужны все эти полномочия — в данном случае это не сделано.
Каким образом я могу действительно анонимно переслать что-то полиции?
Переслать послание электронной почтой. Стопроцентно надежного способа сохранить анонимность не существует, однако для того, чтобы с высокой долей вероятности остаться в тени, достаточно воспользоваться веб-версией почтовых сервисов, которые не указывают в заголовках писем IP-адреса отправителя. Например, можно воспользоваться почтой "Яндекса" (Gmail — нельзя, он указывает). Правоохранительные органы и в этом случае смогут многое узнать об отправителе, но для вычисления этого им потребуется намного больше времени и ресурсов. Во всяком случае, по сравнению с тем случаем, когда маленький муниципальный полицейский находится буквально в кармане у пользователя.
P.S. Напоследок мы также добавим, что создатели приложения могли бы "подсластить пилюлю" и сделать его действительно желанным не только для тех, кто хочет сообщить о нарушении, но вообще для любого рижанина (и попутно заставить замолчать критиков) . Например, если бы добавили прямо в программу возможности оповещения о пропавших детях или разыскиваемых преступниках, как это сделано в американском аналоге под названием "My Police Department". Информация о пропавших детях в США теперь есть даже в Waze. Жаль, что только об американских.