Informacije koje kompanija Yandex, poznatija kao ruski Google prikuplja od Android i iOS korisnika se šalje direktno na ruske servere.
Najveća ruska tehnološka kompanija – Yandex ugrađivala je kod u aplikacije na mobilnim uređajima koji omogućava da se podaci o milionima korisnika širom sveta šalju na servere u Rusiji. Kod koji je problematičan je deo razvojnog paketa (SDK) koji se zove AppMetrica.
AppMetrica omogućava analizu i upravljanje podacima iz aplikacija u koje se ugradi, a trenutno je deo preko 52.000 aplikacija za dopisivanje, igara, alata za deljenje lokacije i VPN alata. Yandex skuplja podatke sa mobilnih telefona, a onda bitne informacije šalje na svoje servere koji se nalaze u Moskvi.
Problem koji imaju istraživači koji su upozorili na ovu sumnjivu praksu je što vlasti u Rusiji imaju pravo po zakonu da pristupe ovim podacima, koji se onda mogu koristiti za praćenje lokacije ljudi širom sveta.
Potvrda i negacija
Yandex je potvrdio da njihov softver prikuplja informacije o uređajima, mreži i IP adresi, kao i da se ti podaci čuvaju na serverima u Rusiji i Finskoj. Međutim, Yandex dodaje da ti podaci nisu personalizovani i da su veoma ograničeni, te da je, iako teoretski moguće, ekstremno teško identifikovati korisnika na osnovu informacija koje skupljaju, te da Yandex to ne može da uradi.
Sa druge strane,usred invazije Rusije na Ukrajinu, Yandex se, kao i većina ruskih tehnoloških kompanija, našao na udaru i svojski se trudio da izbegne povezivanje sa ruskim predsednikom, pa im ovo nikako ne ide na ruku. Yandex navodi da kompanija ima vrlo striktne interne procese kada sarađuje sa vladama i svaki zahtev koji nije u skladu sa svim relevantnim procedurama i zakonskim obavezama se odbija.
Problem je što, iako Yandex zaista ne koristi ove podatke za praćenje korisnika, oni su po zakonu obavezni, da na zahtev vlade Rusije ustupe sve podatke, dok drugi eksperti iz ove oblasti navode da se metapodaci zaista mogu koristiti za identifikaciju korisnika.
Yandex, poznatiji kao “ruski Google” je kompanija koja se nalazi na Njujorškoj berzi i većinski vlasnici su američki fondovi. Sedište kompanije je u Amsterdamu, a osnivač i CEO kompanije Arkadi Volož živi u Izraelu. Tokom 2019. godine Yandex je potpisao ugovor sa ruskom vladom, kreirajući strukturu koja omogućava da Moskva može da interveniše i da reši neke probleme koji se pojave, poput strane akvizicije, ali bez kontrole svakodnevnih operacija.
Nažalost, ruska invazija na Ukrajinu imala je veliki uticaj na ovu kompaniju, pa je cena deonica pala, a neki zapadni partneri su prekinuli saradnju sa ovim tehnološkim gigantom. Izvršni direktor kompanije Tigran Kudaverdian je dao otkaz prošle nedelje nakon što je bio na meti EU sankcija, koje su napravljene tako da ciljaju svojinu poslovnih ljudi koji su bliski sa Kremljom.
Šta je AppMetrica?
Yandex ima softver u obliku razvojnog paketa (SDK), pod nazivom "AppMetrica". SDK predstavlja gradivni blok koji programeri koriste za kreiranje aplikacija. Primera radi, SDK za Google Maps omogućava aplikacijama da ugrade funkciju mape, umesto da sami razvijaju svoje mape. Mnogi razvojni paketi se nude “besplatno” u zamenu za pristup korisničkim podacima koji pomažu ciljanom oglašavanju (Facebook na primer).
Ukupan broj instaliranih aplikacija koje imaju AppMetrica SDK se mere stotinama miliona, pa su poslovni korisnici koji rade sa osetljivim podacima posebno zabrinuti da li se informacije o njima šalju direktno Moskvi.
Iluzija bezbednosti
Ron Vajden, američki senator je izjavio da Apple i Google zadržavaju svoj monopolistički položaj i kontrolu nad svojim prodavnicama aplikacija, kao neophodnost da korisnici ostanu bezbedni. Svaki dan koji su aplikacije sa Yandex SDK-om i dalje na te dve prodavnice je dokaz da je bezbednost korisnika kojom se i Apple i Google hvale samo iluzija.
Predstavnici kompanije Yandex su izjavili da njihov SDK radi isto kao i internacionalni konkurenti kao što je Google Firebase, koji se nalazi u preko 2 miliona Android aplikacija. Oni dodaju da prikupljaju podatke tek nakon što korisnik da svoj pristanak za to i u Android i iOS aplikacijama. Yandex takođe navodi da nikada nisu dali nikakve informacije o korisnicima sa bilo koje aplikacije koja ima AppMetrica SDK, kao i da im niko nikada nije tražio te informacije.
Sa kompanijom Yandex se slaže i Apple koji se posredno našao u nebranom grožđu. Apple predstavnici naglašavaju da AppMetrica ne može da pristupi podacima korisnika bez njihovog pristupa, tako da su korisnici svesni koje podatke dele.
Sa druge strane, Patrik Džekson, CTO kompanije Disconnect, koja razvija alat za digitalnu privatnost kaže da je problem sa SDK upravo zato što on ne traži dozvolu, već se vozi na leđima dozvola koje korisnici daju aplikaciji, čiji je on deo. Pogledajte kako radi Yandex Metrica koja se oslanja na podatke sa AppMetrica SDK:
Google je priznao da još uvek ima puno posla kada je u pitanju transparentnost korišćenja korisničkih podataka, posebno po pitanju onoga šta SDK-ovi rade, i rekli su da će sprovesti istragu na bazi dokaza koje su objavili mediji.
Sumnjive aplikacije
Više od 2.000 aplikacija su dodale AppMetrica SDK od početka invazije na Ukrajinu, uključujući nekoliko aplikacija koje su dizajnirane da prate ukrajinske korisnike. "Call Ukraine", na primer je “besplatna aplikacija za dopisivanje za Ukrajince” koja je 10. marta postavljena na Play Store i koja ima ikonicu plavo-žute zastave. Kada se instalira, aplikacija može da vidi identitet korisnika i da pročita njihove kontakte. Razvojni tim koristi lažnu email adresu "help.service@internet.ru"
Problem je i u tome što je AppMetrica SDK instaliran i na 21 VPN aplikaciju samo u poslednjih 30 dana, što je paradoks, jer VPN aplikacije treba da budu proaktivne i da vam omoguće dodatni nivo bezbednosti i anonimnosti, a one rade upravo suprotno.