Урядові веб-сайти використовують те саме ПЗ для відстеження користувачів, що й комерційні
Всім відомо, що комерційні веб-сайти та мобільні додатки, які ми використовуємо щодня, стежать за нами.
Від цього залежать великі компанії, такі як Facebook і Google.
Однак, як показує нова робота групи дослідників Concordia, великі компанії не єдині, хто збирає наші приватні дані.
Уряди по всьому світу впроваджують одні й ті самі інструменти відстеження та надають великим підприємствам можливості відстежувати користувачів державних послуг, навіть у тих юрисдикціях, де законодавці приймають закони, що обмежують комерційні трекери.
Автори дослідження провели аналіз конфіденційності та безпеки понад 150 000 урядових веб-сайтів із 206 країн та понад 1150 програм Android із 71 країни.
Вони виявили, що 17% державних веб-сайтів і 37% державних програм Android розміщують трекери Google.
Вони також відзначили, що більше чверті — 27 відсотків — додатків Android передають конфіденційну інформацію третім сторонам або потенційним мережевим зловмисникам. І вони визначили 304 сайти та 40 додатків, позначені як шкідливі на веб-сайті безпеки Інтернету VirusTotal.
«Результати були несподіваними», — каже співавтор статті Мохаммад Маннан, доцент Інституту інженерії інформаційних систем Concordia (CIISE) у Школі інженерії та комп’ютерних наук Джіни Коді.
"Урядові сайти підтримуються державними коштами, тому їм не потрібно продавати інформацію третім сторонам. А деякі країни, особливо в Європейському Союзі, намагаються обмежити комерційне відстеження. То чому вони дозволяють це на своїх власних сайтах?"
Ненавмисно, але інвазивно
Дослідники почали свій аналіз зі створення початкового списку, який містить десятки тисяч державних веб-сайтів, використовуючи автоматичний пошук і сканування та інші методи в період з липня по жовтень 2020 року.
Потім вони виконали глибоке сканування, щоб отримати посилання в джерелі HTML-сторінки.
Команда використовувала інструментальні показники відстеження від OpenWPM, автоматизованого програмного забезпечення з відкритим вихідним кодом, яке використовується для вимірювання конфіденційності в Інтернеті, для збору такої інформації, як сценарії та файли cookie, що використовуються в коді веб-сайтів, а також техніки відбитків пальців пристрою.
Вони відстежували програми Android, шукаючи URL-адреси магазину Google Play, знайдені на державних сайтах, а потім вивчаючи URL-адреси та електронні адреси розробників.
Коли це було можливо, вони завантажували програми — багато з них були геоблоковані — і аналізували їх на наявність вбудованих комплектів для розробки програмного забезпечення для відстеження (SDK).
Аналіз показав, що 30 відсотків державних веб-сайтів мають один або кілька трекерів JavaScript на своїх цільових сторінках.
Найвідоміші трекери належали Alphabet: YouTube (13 відсотків веб-сайтів), doubleclick.net (13 відсотків) і Google (близько чотирьох відсотків). Вони знайшли близько 1647 пакетів SDK для відстеження в 1166 державних програмах Android. Більше третини — 37,1 відсотка — були з Google, інші з Facebook (6,4 відсотка), Microsoft (2,1 відсотка) та OneSignal (2,9 відсотка). Маннан зазначає, що використання трекерів не завжди може бути навмисним.
Урядові розробники, швидше за все, використовують наявні пакети програмного забезпечення для створення своїх сайтів і програм, які містять сценарії відстеження або містять посилання на сайти соціальних мереж, таких як Facebook або Twitter.
Iнших варіантів немає
Хоча використання трекерів широко поширене, Маннан особливо критично ставиться до таких юрисдикцій, як ЄС і Каліфорнія, які стверджують, що мають суворі закони про конфіденційність, але на практиці не завжди суттєво відрізняються від інших.
А оскільки користувачі можуть використовувати лише державні портали для важливих особистих зобов’язань, таких як сплата податків або запит на медичну допомогу, вони піддаються додатковому ризику.
«Уряди стають все більше обізнаними про онлайн-загрози конфіденційності, але водночас вони сприяють цим потенційним порушенням за допомогою своїх власних служб», – каже він.
Маннан закликає уряди часто та ретельно аналізувати власні сайти та програми, щоб гарантувати безпеку конфіденційності та переконатися, що вони дотримуються власних законів.
За матеріалами: Techxplore