Методика исследования
Ключевые вопросы
  1. Какие трекеры чаще всего используются внутри приложений?
  2. Какие компании владеют трекерами, которые собирают и передают данные из приложений?
  3. В каких юрисдикциях базируются компании — издатели трекеров?
  4. Какие разрешения, в том числе потенциально опасные, используются в приложении для его работы?
Алгоритм сбора данных
  1. Были собраны данные о всех 1014 мобильных приложения, опубликованных в RuStore — российском магазине мобильных приложений для Android. Приложения были собраны в виде данных APK файлов (Android Package) мобильных приложений, а также были собраны их основные характеристики (метаданные) приложения в магазине приложений RuStore. Эти характеристики включают:
  • название
  • описание
  • компания-разработчик приложения
  • категория приложения (см Таблица 1.).
  • и другие характеристики.

Путь сплошного анализа, помимо относительно небольшого объема размещенных приложений, был выбран в связи с ограничением магазина RuStore: он не предоставляет сведений о количестве установок приложений. Это делает невозможным проведение ранжирования или формирования выборки по самым популярным приложениям.

В полученном наборе приложений была обнаружена аномалия – размещение 81 типового приложения, созданных ООО «Новатор». Это идентичные приложения логопедического назначения, каждое из которых соответствует определенному звуку языка. Все эти приложения, согласно категоризации в магазине RuStore, записаны как образовательные и игровые. Если бы мы оставили их все, то при анализе бы получили фактическое искажение результатов, поэтому в расчете показателей оставили только одно, исключив остальные 80.

Таким образом, в итоговом списке осталось 934 приложений.
Таблица 1. Список категорий приложений в RuStore и число приложений в них.
2. По каждому приложению были собраны сведения о запрашиваемых приложением специальных разрешениях (permissions) и используемом коде сторонних отслеживающих мобильных трекеров. Для этого использовалась база Exodus Privacy. Это некоммерческий проект по идентификации трекеров и разрешений в мобильных приложениях. Он включает большую базу уже проверенных приложений для Android, базу отпечатков ETIP. Сведения, извлекаемые из APK файлов приложений с помощью статического анализа. Статический анализ включает проверку наличия java-классов в DEX файлах приложений на соответствие базе отпечатков мобильных трекеров.
Принципы формирования результатов
При подготовке данных использовался автоматизированный метод сбора данных о мобильных приложениях, который включает загрузку метаданных о трекерах с портала Exodus Privacy. С помощью базы трекеров для каждого приложения, выгруженного из Rustore, записаны следующие данные:
  • Наименование компании владельца/ разработчика трекера;
  • Страна, в юрисдикции которой находится владелец/ разработчик трекера.
  • Описание и категория трекера по типу использования. 
Недостающие данные в описаниях трекеров (компания-разработчик, юрисдикция) дополнялись вручную на основе общедоступной информации, опубликованной на веб-сайте трекера или компании-издателя трекера. Юрисдикции были определены по местонахождению компании-владельца (штаб-квартире) трекера и юрисдикции.

Итоговые данные сводились с помощью написанных скриптов на языке Python и были перепроверены вручную.
Данные