Iš 5 855 tirtų programėlių beveik 57% jų – t.y. kiek daugiau nei 3 300 – kėsinasi į vaikų privatumą. Pasak tyrėjų, dauguma programėlių neteisingai renka duomenis, net jei jų kūrėjai to nenumatė ar tiesiog nebuvo pagalvota apie tokių veiksmų pasekmes.
COPPA reglamentuoja vaikų iki 13 metų apsaugą nuo asmenį identifikuojančios informacijos rinkimo. Šis teisės aktas reguliuoja, kaip programėlės, žaidimai ar interneto svetainės gali rinkti ir apdoroti jautrius vaikų duomenis, tuo pačiu draudžia kai kurias duomenų rinkimo praktikas ir numato, kada būtinas tėvų ar globėjų sutikimas.
Tyrimui buvo atrinktos 5 855 vaikams skirtos programėlės, kurias sukūrė 1 889 skirtingi kūrėjai – bendras šių programėlių atsisiuntimų ir diegimų skaičius sudaro virš 4,5 milijardo. Tirtos programėlės yra priskiriamos 63 skirtingoms „Google Play“ kategorijoms, didžioji dalis jų – žaidimai.
Septynių tyrėjų komanda iš JAV ir Kanados universitetų pasitelkė automatinio testavimo procesus, nustatančius, kaip programėlės tvarkosi su vartotojų duomenimis. Tyrimo metu buvo nustatyta, kad grėsmė vaikų duomenims kyla ne vienu būdu.
Pavyzdžiui, 28% programėlių pasiekia jautrius duomenis, saugomus „Android“ leidimų. Beveik 5% tirtų programėlių renka vaikų geolokacijos ar kontaktinę informaciją, su įrenginiu susieto el. pašto adresą ar telefono numerį, be jokio išankstinio tėvų leidimo.
„Dažnai diegdami programėlę neatkreipiame dėmesio, kokių leidimų ji prašo – tiesiog spaudžiame mygtuką „Sutinku“. Jei suaugęs asmuo gali atsakyti už savo veiksmus, įvertinti galimas rizikas, tai vaikai, patys diegdami norimus žaidimus kad ir į tėvų asmeninį telefoną, kažin ar supranta, koks pavojus gali kilti jų ir tėvų duomenims“, – komentuoja „ESET Lietuva“ IT inžinierius Ramūnas Liubertas. – „Rekomenduoju tėvams labiau domėtis, ką vaikai veikia su išmaniaisiais įrenginiais, kokias programėlės diegia, kaip jomis naudojasi“.
19% tirtų programėlių, renkančių nuolatinius identifikatorius, kaip įrenginio IMEI numeris ar Wi-Fi MAC adresas, nustatyta, kad duomenys perduodami trečiosioms šalims draudžiamais tikslais – vartotojų profiliavimui ir reklamų taikymui. Remiantis JAV galiojančiu COPPA teisės aktu, tokie identifikatoriai yra laikomi asmenine informacija, jei jie leidžia identifikuoti vartotoją laikui bėgant ar naršant skirtingas interneto svetaines.
Gegužės 25 d. Europos Sąjungoje įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (BDAR, angl. GDPR) taip pat pažymi, kad asmenį identifikuoti leidžia tokie iki šiol nesvarbiais laikyti metaduomenys, kaip IP adresas, mobiliųjų įrenginių IMEI numeriai, SIM kortelių ID ar interneto svetainių slapukai.
Negana to, 39% vaikams skirtų programėlių pažeidžia „Google Play“ paslaugų šeimoms „Designed for Families“ (DFF) apsaugos programą. „Google“ atstovas Tom Guide, reaguodamas į paskelbto tyrimo rezultatus, pareiškė, kad kompanija imsis griežtesnių veiksmų, jei tyrėjų minimos vaikams skirtos programėlės iš tikrųjų pažeidžia „Google“ saugumo politiką.
Su tyrėjų įžvalgomis apie kiekvieną testuotą vaikams skirtą programėlę galima susipažinti specialioje svetainėje appcensus.mobi.
