Российский студент и программист Владислав Велюга отсниффил программой Shark for Root трафик мобильного приложения «ВКонтакте» и опубликовал результаты расследования (часть 1, часть 2). Он пишет, что раньше в результатах сниффинга не было ничего необычного, а сейчас появилось. Сейчас соцсеть начала передавать на сервер так много данных буквально о каждом действии пользователя, что это можно назвать слежкой.
К сожалению, теперь в официальную версию клиента включены следящие модули, в том числе myTracker от Mail.ru (скриншот после декомпиляции APK-файла).
Владислав исследовал версию официального клиента 4.12.1 для Android. Исследование показало, что на сервер «ВКонтакте» передаются практически все действия пользователя при работе с приложением. При этом необходимость сбора многих данных трудно объяснить (хотя можно понять, если подумать, зачем это нужно серверу). Например, при заходе в раздел «Аудио» передаются геоданные, а в разделе с видеозаписями передаётся информация о таких событиях как «volume_on», «volume_off», «fullscreen_on», «fullscreen_off» (переход и выход в/из полноэкранного режима), событие «video_play», которое просто отсылает текущую позицию просмотра видео, где-то с периодичностью 10-20 секунд.
В других случаях передаётся информация о ближайших точках доступа WiFi, подгружаются метрики через невидимую WebView и т. д. Техподдержка «ВКонтакте» ответила, что отказаться от сбора этих данных «не получится, так как для работы приложения все эти сведения необходимы».
Автор исследования подчёркивает, что в неофициальном клиенте VK Coffee (модификация официального, с вырезанными метриками и пр.) таких сливов замечено не было.
Сам автор VK Coffee Эдуард Безменов прокомментировал: «Самый ад то, что libverifyот мыла.ру собирает серийники sim-карт, а mytracker — lac и cid». Он сказал, что слив подобных данных во «ВКонтакте» он наблюдал и раньше, и в его модификации клиента эта функция давно отключена.
Позже в комментарии для газеты «Ведомости» представитель компании Евгений Красников объяснил, что «ВКонтакте» никогда не скрывала, что собирает такую информацию для рекламы, оптимизации, рекомендаций. Другая информация тоже необходима. Например, по смене идентификационного кода sim-карты можно понять, менялся ли у пользователя телефон, и решить, отправлять ли ему код для валидации. Местоположение при прослушивании аудиозаписей нужно запрашивать из-за требований правообладателей и т. д. Да и вообще, все популярные приложения собирают подобные персональные данные, иначе они проиграют конкурентам.
http://telegra.ph/O-tom-kak-VKontakte-sobiraet-informaciyu-o-nas-07-29
http://telegra.ph/O-tom-kak-VKontakte-sobiraet-informaciyu-o-nas-chast-2-07-31
