Mozilla: Semmit nem érnek a Play Store adatbiztonsági címkéi
A Mozilla vizsgálata szerint gyakran nagy eltérések vannak a Google címkéi és az alkalmazások tényleges adatgyűjtési gyakorlatai között, ismét erős kritikát kap a fejlesztők önbevallásos adatszolgáltatása. A Google védekezik.
A Google tavaly kezdte el bevezetni a Play Áruház adatlapjain az új, címkés rendszert használó adatbiztonsági szekciót, ami átvette az alkalmazásengedélyezésekkel kapcsolatos áttekintések helyét, válaszul az Apple által iOS 14-el bejelentett App Privacy fülre. A fő különbség, hogy míg a korábbi megoldásban az engedélyek listáját a Google automatikusan hozta létre az alapján, hogy az app mihez kért hozzáférést a rendszertől, így kevesebb eséllyel maradt ki olyan dolog, amit a fejlesztők esetleg önbevallásos alapon elhanyagoltak volna, az Adatbiztonság viszont teljes mértékben a fejlesztő által benyújtott adatokra támaszkodik.
Az újítás már a bejelentéskor kritikákat kapott, hiszen felveti a kérdést, hogy a felhasználó megbízhat-e abban, hogy az appfejlesztő valóban mindent bevall-e. A Mozilla ezen aggodalom mentén megvizsgálta az áruház legnépszerűbb ingyenes és fizetős alkalmazásait, és úgy találta, hogy sok esetben a feltüntetett címkék valóban nem fedik a valóságot, és nem adnak pontos tájékoztatást a felhasználókról gyűjtött összes adatról. A Twitter és a TikTok például köztudottan felhasználói információkat oszt meg a hirdetőkkel és internetszolgáltatókkal, annak ellenére, hogy az adatlapon ezt nem jelzi.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A fejlesztők egy adatbiztonsági űrlap (Google Data Safety Form) segítségével deklarálhatják a címkéket, de több kiskapura is lehetőséget ad a rendszer ahhoz, hogy félrevezető vagy hiányos eredmények szülessenek. A Mozilla szerint a Google a homályos és tágan értelmezhető definíciók lévén szinte felmenti a fejlesztők az alól, hogy a más szolgáltatókkal való adatmegosztást bevallják.
A Firefox anyavállalata emellett azzal is vádolja a céget, hogy a felelősséget lényegében az alkalmazások készítőire hárítja. A Google korábban úgy nyilatkozott, hogy amennyiben megállapítja, hogy egy fejlesztő megtévesztő adatokat adott meg, és megsértette az irányelvet, felszólítást kap a hiba javítására, következő lépcsőként pedig letilthat frissítéseket, vagy akár el is távolíthatja az alkalmazást.
A Mozilla a jelentéshez a 20 legnépszerűbb ingyenes és 20 fizetős alkalmazást tanulmányozta, amiket a „rossz”, „javításra szorul” és az „OK” értékelésekkel látott el. A 40 alkalmazásból 16, köztük a Twitter, a Minecraft és a Facebook kapott „rossz” minősítést. 15 alkalmazás, köztük a TikTok, a YouTube, a Google Maps és a Gmail kapta a „javításra szorul” megítélését. De egyes appok, a UC Browser, a League of Stickman Acti és a Terraria fejlesztői még a Google adatbiztonsági űrlapját sem töltötték ki, holott a keresőcég azzal fenyegetőzött, hogy a fejlesztők nem frissíthetik alkalmazásaikat, ha nem töltötték ki az űrlapot.
Jen Caltrider, a Mozilla projektvezetője szerint bár az eredeti cél az lenne, hogy az adatvédelmet szem előtt tartó felhasználók tudatosabb döntéseket hozhassanak egyes alkalmazások letöltése előtt, az új rendszer láthatóan nem tud ennek eleget tenni, sőt többet árt, mint használna. De a probléma nem korlátozódik a Google Play Áruházra: más vizsgálatok szerint a fejlesztők az Apple App Store-ban is oszthatnak meg fals információkat, ami a cupertinóiaknak is fejtörést okoz. Caltirider szerint mind az Apple-nek, mind a Google-nak szabványosított adatvédelmi rendszert kellene bevezetnie a platformok között.
A Google elutasítja a Mozilla megállapításait, szerinte a jelentésben adott értékelések hasraütésszerűen születtek, és a módszer nem alkalmas az appok biztonságának mérésére. A cég szerint a viszonylag fiatal címkés rendszer a korábbinál jobb átláthatóságot biztosít.