Studiu: 67% dintre aplicațiile Android înregistrează date care nu sunt menționate în politicile lor de confidențialitate

Politicile de confidențialitate au rolul de a informa utilizatorii cu privire la modul în care sistemele software colectează și gestionează datele, însă adesea acestea rămân vagi sau incomplete.
Un studiu academic de amploare a constatat că aproximativ două treimi dintre aplicațiile Android nu dezvăluie cu exactitate modul în care colectează date sensibile prin înregistrarea activităților, evidențiind o discrepanță semnificativă între politicile de confidențialitate și comportamentul real, potrivit CyberInsider.

Cum s-a desfășurat studiul

În cadrul studiului, realizat de o echipă de la Institutul de Tehnologie din Rochester, Universitatea din Waterloo și Universitatea Tehnică din Ontario, au fost analizate 1.000 de aplicații Android și aproape 87 de milioane de log-uri pe o perioadă de 11 luni, din noiembrie 2024 până în septembrie 2025. Rezultatele relevă inconsistențe între ceea ce susțin aplicațiile în politicile lor de confidențialitate și ceea ce înregistrează de fapt în jurnalele de rulare.

Doar 28,5% din aplicații menționau în mod explicit practicile de înregistrare

Cercetătorii au examinat aplicații din 42 de categorii din Google Play Store, inclusiv rețele sociale, productivitate, sănătate și divertisment. Deși 88% dintre aplicațiile analizate ofereau o politică de confidențialitate, doar 28,5% menționau în mod explicit practicile de înregistrare. Chiar și printre cele care o făceau, peste un sfert dintre dezvăluiri erau vagi sau excesiv de simpliste, oferind puține informații semnificative despre ce date erau colectate sau de ce.

Mai îngrijorător a fost decalajul dintre politicile declarate și comportamentul real. Echipa a descoperit că 60,7% dintre aplicații au divulgat informații sensibile prin jurnale, iar în 67,6% dintre cazuri, tipurile de date divulgate nu erau menționate în politica de confidențialitate a aplicației. În total, doar 4% dintre aplicații au demonstrat o aliniere completă între practicile de confidențialitate declarate și activitatea de înregistrare observată.

Datele de localizare detaliate au fost cele mai frecvent expuse, cu peste 37.000 de cazuri, urmate de adresele IP și identificatorii de dispozitive. 97,5% din dezvăluirile de date privind modelele de dispozitive nu erau documentate în politicile de confidențialitate.

Jurnalele (log-urile) conțin informații sensibile care ridică probleme legate de confidențialitate

Dezvoltatorii implementează adesea înregistrarea datelor de funcționare a aplicațiilor în log-uri din motive tehnice, fără a lua în considerare pe deplin implicațiile asupra confidențialității, în timp ce politicile de confidențialitate sunt redactate pe baza unor șabloane generice care s-ar putea să nu reflecte practicile reale de colectare a datelor. Acest lucru duce la politici învechite, incomplete sau înșelătoare.

Te-ar putea interesa și: O nouă variantă a malware-ului NGate pentru Android folosește o aplicație NFC pentru a fura datele cardurilor

În ciuda valorii lor tehnice, jurnalele conțin adesea informații sensibile care ridică probleme legate de confidențialitate. Jurnalele aplicațiilor înregistrează frecvent informații precum identificatori de dispozitive, adrese IP, date de localizare, date de autentificare ale utilizatorilor și tipare de comportament ale acestora, care ar putea compromite involuntar confidențialitatea utilizatorilor dacă sunt gestionate în mod necorespunzător.

Acest risc este deosebit de acut în ecosistemul Android, care alimentează peste 3 miliarde de dispozitive active la nivel mondial și reprezintă aproximativ 70% din piața globală a smartphone-urilor. Pe măsură ce utilizatorii interacționează cu aplicațiile, jurnalele sunt generate continuu și pot expune involuntar informații personale sau contextuale fără ca utilizatorul să fie conștient de acest lucru. Din perspectiva utilizatorului, impactul unei astfel de scurgeri de date confidențiale este adesea imprevizibil și rareori se limitează la un domeniu restrâns, deoarece multe aplicații transmit jurnalele către servere la distanță sau platforme de analiză ale unor terți, iar datele private ale utilizatorilor pot fi diseminate mult dincolo de dispozitivele lor. În ciuda acestui fapt, colectarea și gestionarea datelor din jurnalele aplicațiilor sunt rareori transparente pentru utilizatori. Majoritatea utilizatorilor se bazează pe politicile de confidențialitate pentru a înțelege modul în care datele lor sunt colectate, utilizate și partajate.

Aplicațiile cu un număr mai mare de descărcări și mai multe recenzii ale utilizatorilor erau, din punct de vedere statistic, mai susceptibile să menționeze înregistrarea datelor în politicile lor, ceea ce arată că atenția publicului și presiunea autorităților de reglementare pot influența transparența.

Politicile de confidențialitate sunt menite să informeze utilizatorii

Politicile de confidențialitate sunt menite să servească drept mecanism principal de informare a utilizatorilor cu privire la colectarea datelor, în special în cadrul unor reglementări precum GDPR (General Data Protection Regulation) și CCPA (California Consumer Privacy Act). Atunci când aceste politici nu descriu cu exactitate comportamentul de înregistrare a datelor, utilizatorii rămân în necunoștință de cauză cu privire la potențialele riscuri de confidențialitate, iar autoritățile de reglementare se confruntă cu dificultăți în asigurarea respectării legii.

Pentru a aborda aceste probleme, cercetătorii recomandă ca dezvoltatorii să trateze datele de înregistrare ca fiind sensibile în mod implicit și să dezvăluie în mod explicit ce se colectează, de ce se colectează și cum sunt gestionate. Măsurile de protecție recomandate includ minimizarea colectării identificatorilor sensibili, aplicarea tehnicilor de anonimizare, criptarea jurnalelor transmise și efectuarea de audituri periodice ale practicilor de înregistrare.