В каком-то смысле экосистемы Google и Apple специально созданы именно под эту бизнес-модель, в первую очередь, интегрируя сервисы владельца экосистемы в создаваемые мобильные приложения, выпуская инструменты разработки, использующие эти сервисы и обеспечивающие значительное удобство для разработчиков мобильных приложений использованием большого числа сервисов «из коробки» (без дополнительных усилий и платы).
Коммерческие компании и частные разработчики не единственные используют механизмы слежки за пользователями. По мере развития технологий государственные органы, госучреждения и госкорпорации (далее –
разработчики государственных приложений) также начинают проявлять интерес к созданию мобильных приложений.
Такие приложения создаются с разными целями, зачастую определяемыми направлениями цифровизации государственного управления. К ним можно отнести:
- оказание государственных услуг;
- идентификация гражданина;
- информирование и предупреждение о событиях/погоде/происшествиях;
- вовлечение граждан в совместную деятельность, инициативные и волонтерские проекты;
- предупреждение рисков при пандемиях (COVID-19 мониторинг, например);
- и многое другое.
При этом разработчики государственных приложений пользуются теми же инструментами, сервисами и продуктами отслеживания пользователей, что и частные разработчики.
Сложившаяся практика приводит к тому, что в мобильных приложениях, создаваемых разработчиками государственных приложений, присутствует значительное число трекеров, передающих сведения о пользователях третьим сторонам, а сами приложения получают большое число разрешений на телефоне пользователя, тем самым давая возможность как самим приложениям, так и встроенным трекерам получать доступ к ключевым возможностям смартфонов: камере, хранилищу данных и программ, отслеживанию местонахождения и многому другому. И происходит это в условиях отсутствия должного внимания со стороны регуляторов внутри государства, служб контроля качества заказчиков этих приложений, отсутствия методических рекомендаций и иных способов юридического и технического контроля.
Внешние сервисы трекеров, как правило, интегрируются в приложения с помощью специального кода, SDK, предоставляемого сервисом трекинга. Подобный код может быть выявлен с помощью так называемого
статического анализа проверки наименований классов (отдельных компонентов) в мобильных приложениях, для чего используются такие инструменты и сервисы, как
Exodus Privacy. Эта технология применима к устройствам в экосистеме Google (Android), но ее невозможно применять к устройствам Apple (iOS) по причинам требований
Apple DRM, явным образом запрещающем декомпиляцию приложений для этой платформы. Другими, более сложными технологиями, являются системы тестовых стендов с перехватом трафика от мобильных приложений к онлайн сервисам. Например, такой подход использовался Privacy International в исследовании
«How Apps on Android Share Data with Facebook».