Родительский контроль: защита или преследование?

20 августа, 2019, Oleg Afonin
Рубрика: «Безопасность», «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

В конце апреля в англоязычных средствах массовой информации прокатилась очередная волна публикаций на тему «Apple уничтожает конкуренцию». Скандал спровоцировала статья с провокационным заголовком «Apple расправились с приложениями против зависимости от iPhone», опубликованная в New York Times. По версии авторов статьи, пользователи iPhone пытались бороться с собственной (а заодно, так уж и быть, и у детей) зависимостью от электронных гаджетов, устанавливая приложения сторонних разработчиков. Приложения, в свою очередь, устанавливали в систему профили конфигурации, посредством которых осуществлялся контроль за действиями пользователей и устанавливались ограничения на использование устройств.

Использование профилей конфигурации послужило Apple формальным поводом для удаления ряда приложений из App Store, что вызвало со стороны журналистов обвинения в нечестной конкуренции. Масла в огонь подлил факт выхода iOS 12 с её подсистемой «Экранного времени» (Screen Time), которая фактически брала на себя основные функции ныне удалённых из магазина приложений программ.

Среди пострадавших (или, скорее, «пострадавших») компания Лаборатория Касперского, приложение Kaspersky Safe Kids (KSK) которой, по словам представителей компании, лишилась существенной части функционала.

Почему «пострадала» Лаборатория Касперских в кавычках? Посмотрим на таймлайн событий.

  • В марте 2019 Лаборатория Касперского подаёт официальную жалобу в ФАС.
  • 3 июня 2019 Apple меняет правила для приложений в App Store, разрешив использование профилей конфигурации для приложений родительского контроля. В то же время, это разрешение не безусловно; об этом ниже.
  • 8 августа на основании жалобы Лаборатории Касперского ФАС России возбудила дело в отношении Apple Inc.

Почему Apple запретили, а потом разрешили сторонним разработчикам использовать профили конфигурации в приложениях родительского контроля? Достаточно ли функционала «Экранного времени» для эффективного родительского контроля и может ли «Экранное время» заменить сторонние приложения? Почему, наконец, Лаборатория Касперского продолжает жаловаться на Apple несмотря на то, что ограничения на её продукт вроде бы сняты? Попробуем разобраться.

В чём обвиняли Apple

Обвинения, выдвинутые против Apple в марте-апреле 2019, можно довольно чётко структурировать. Авторы статьи в NY Times заняли следующую позицию. С точки зрения журналистов, разработчики ряда приложений с тысячами платных (что особо подчёркнуто) клиентов предлагали решения, позволяющие пользователям бороться с зависимостью от гаджетов. В некоторых случаях речь шла и о приложениях, позволявших родителям, цитируем: «контролировать устройства собственных детей или блокировать доступ к определённым приложениям и контенту 18+».

По мнению журналистов (и давших журналистам интервью производителей удалённых приложений), в Apple поступили так потому, что в iOS появилась встроенная подсистема «Экранное время», взявшая на себя часть функций заблокированных приложений. Дальнейшее содержимое статьи малоинтересно, представляя типичный пример американской журналистики: приводятся интервью с пострадавшим от зависимости от iPhone, который смог преодолеть собственноручно установленное в «Экранном времени» ограничение, и родителей, сетующих на то, что их дети находят способы обойти установленные «Экранным временем» блокировки.

Таким образом, Apple обвинялась в следующих грехах:

  1. Компания удалила или заставила производителей убрать «ключевую функциональность», позволяющую отслеживать и ограничивать действия пользователя устройства.
  2. В Apple сделали это сразу после того, как аналогичная (но, конечно же, гораздо хуже – так следует из статьи) функция появилась в iOS.
  3. Из первых двух пунктов следует вывод: Apple нерыночными (читай – нечестными) методами ограничивает конкуренцию.

Казалось бы, не поспоришь. В App Store действительно стало меньше приложений, реализующих контроль экранного времени и родительский контроль, а эффективность оставшихся заметно снизилась. И по времени как совпало – статья в NY Times появилась аккурат после выхода iOS 12 со встроенной функцией «Экранного времени». Однако стоит присмотреться к деталям – и «дело разваливается».

Таймлайн

Казалось бы, всё просто: Apple выпускает iOS 12 с функцией «Экранного времени» — Apple выкидывает из App Store конкурентов. Не то, чтобы компания никогда такого не делала; достаточно вспомнить приложение f.Lux, уводящее экран устройства в тёплые оттенки, и реакцию Apple. Однако здесь не тот случай.

Факт 1: в iOS 12, вышедший в июне 2018 года, появилась функция «Экранное время», которую предлагается использовать в целях родительского контроля.

Факт 2: в марте 2019 Apple действительно вычистили из магазина приложения, которые предлагали пользователям установить профиль конфигурации для работы функций родительского контроля. В компании сослались на пункт 2.5.1 руководства для разработчиков приложений.

А вот далее события принимают интересный оборот.

Факт 3: в апреле 2019 в Apple сочли необходимым отреагировать на критику, объяснив причины, по которым были удалены приложения. В тексте подробно объясняется, что такое MDM-сертификаты и чем они могут быть опасны.

Но несмотря на довольно убедительное объяснение события развиваются неожиданным образом.

Факт 4: уже в июне в Apple принимают решение убрать ограничения по использованию сертификатов для приложений родительского контроля. Детальное объяснение – здесь.

Казалось бы, Лаборатория Касперского победила и в антимонопольном иске более нет необходимости… но не всё так просто. Разрешив использовать MDM-сертификаты приложениям родительского контроля, Apple тем не менее требует:

Guidelines 1.3 and 5.1.4. In order to help keep kids’ data private, apps in the kids category and apps intended for kids cannot include third-party advertising or analytics software and may not transmit data to third parties. This guideline is now enforced for new apps. Existing apps must follow this guideline by September 3, 2019.

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

В совокупности эти пункты означают, что приложения родительского контроля имеют право использовать MDM-сертификаты – но при этом должны нести ответственность за сохранность персональных данных детей, за которыми, собственно, эти приложения и следят. В частности, разработчики не имеют право использовать рекламные SDK сторонних разработчиков (например, SDK от Google, Facebook и ещё приблизительно двух сотен компаний); наконец, не имеют право передавать собранную информацию третьим лицам. Более того, политики по обработке персональной информации соответствующих продуктов должны в явном виде включать описанные выше ограничения.

Так почему Лаборатория Касперского продолжает возмущаться?

Возможно, дело в том, что отдельные продукты Лаборатории всё-таки могли следить за пользователями (по крайней мере, могли это делать в течение как минимум 4 лет). Так, 15 августа немецкий журнал c’t опубликовал статью, в которой описывается механизм, позволяющий следить за браузером пользователя. Вот подробный разбор этой статьи на русском. «Айкенберг заметил, что при проверке сайтов на безопасность антивирус подгружает в HTML-код сайта подозрительный скрипт», пишет The Bell. «Как показало расследование, в нем содержался уникальный для каждого компьютера постоянный идентификационный номер. Номер вставлялся в открытый исходный HTML-код сайтов, которые посещал пользователь. Это могло дать возможность злоумышленникам следить за историей серфинга, причем, как обнаружил Айкенберг, от слежки не спасла бы ни смена браузера, ни включение режима “инкогнито”.»

Последующая волна публикаций вынудила Лабораторию Касперского признать проблему и убрать эту функцию из пяти своих продуктов.

Проблема, тем не менее, совсем не новая. Вот статья «Kaspersky следит за вами, за ваши деньги», опубликованная аж в 2015 году. В ней рассказывается ровно то, что «обнаружил» немецкий журналист четыре года спустя. Но статья не привлекла внимания широкой общественности, и Лаборатория Касперского не сочла нужным как-то отреагировать.

Тем, кому интересно продолжение юридических баталий и подоплёка истории, порекомендую отличную статью «Лаборатория Касперского, расследование ФАС, Apple и персональная информация». Alexmak в своей статье делает такой вывод: «С учетом того […], что метод использования профилей MDM создаёт потенциальную угрозу для персональных данных на устройстве, где такой профиль установлен, Apple прямым текстом запретила передачу каких-либо данных, полученных из приложений MDM, и это должно быть прописано в политике конфиденциальности компании. Если я правильно понимаю, нынешняя претензия ЛК заключается именно в этом — они бы очень хотели иметь возможность собирать и передавать эти данные каким-то третьим лицам, но Apple заставляет их пообещать, что они этого не будут делать.»

Мы же не будем вдаваться в судебные перипетии и рассмотрим технические и социальные аспекты родительского контроля.

Что такое профили конфигурации в iOS и чем они могут быть опасны

Профили конфигурации – мощный инструмент, позволяющий корпоративным пользователям и разработчикам производить массовую настройку устройств и обходить некоторые встроенные в iOS ограничения. Подробнее о профилях конфигурации можно почитать по ссылке; нас же интересует самый первый пункт в списке того, что можно сделать при помощи профиля конфигурации: Restrictions on device features.

Использование ограничений через установку профиля конфигурации позволяет блокировать (фактически – удалить) любой набор приложений, включая системные. Kaspersky Safe Kids использовал эту возможность для блокировки браузера Safari. Кроме того, посредством профиля конфигурации можно разрешать или запрещать устройству подключаться к компьютеру, создавать резервные копии, менять или сбрасывать пароли и многое другое – в том числе такие вещи, которые недоступны даже через настройки «Экранного времени».

Штатный сценарий для профилей конфигурации – использование в устройствах, которые принадлежат компании и выданы работникам во временное пользование. Профили конфигурации могут быть использованы и в других целях. К примеру, некоторые приложения (в частности, компании Olympus) используют профили конфигурации для настройки доступа к внешнему устройству (в случай Olympus – фотоаппарата) через Wi-Fi. Тем не менее, даже такое использование профилей противоречит политике Apple, потому что профиль конфигурации распространяется не через App Store, а его использование действительно потенциально опасно.

Kaspersky Safe Kids: спорный функционал

Какими возможностями обладало приложение KSK до того, как вмешалась Apple? Обратимся к обзору.

Для эффективной работы Kaspersky Safe Kids после установки требовала добавить в систему профиль конфигурации, обладающий довольно интересными свойствами.

Картинка:

Источник

  • Нельзя было удалить KSK с устройства без код-пароля (пароль должен был получить наблюдатель из аккаунта Kaspersky). Разумеется, наблюдаемый – тот, на чьё устройство устанавливался такой сертификат, – не мог ни удалить сертификат, ни даже сбросить устройство (только через recovery mode с последующей настройкой). При этом возраст наблюдаемого объекта указывался наблюдателем в приложении Kaspersky; с реальным возрастом наблюдаемого он не коррелировал. Изменить возрастные настройки жертва слежки не могла.
  • Любая попытка что-либо сделать с сертификатом не только пресекалась: о ней моментально уведомлялся наблюдатель. Своеобразный аналог электрической загороди с сигнализацией.
  • Встроенный браузер Safari блокировался. Вместо него наблюдаемому предлагалось использовать «карманный» браузер Kaspersky. Разумеется, все действия в этом браузере контролировались чуть более, чем полностью, вплоть до моментального уведомления наблюдателя при попытке зайти на ограниченный ресурс.
  • Наблюдатель мог устанавливать так называемый geofence (разрешённую территорию). Если жертва слежки покидала разрешённую территорию, наблюдатель получал уведомление. Кстати – возможность очень похожа на опцию «женского контроля» в Саудовской Аравии.
  • Наблюдатель получал уведомления в реальном времени, предупреждавшие о любой попытке наблюдаемого каким-либо образом вырваться из-под опеки: отключить блокировки, удалить сертификат и так далее.

Для удаления приложения с устройства жертве наблюдения нужно было проделать неочевидную последовательность действий, а именно:

  1. Узнать, что для слежки используется именно этот продукт.
  2. Узнать о существовании учётной записи в кабинете My Kaspersky.
  3. Узнать логин и пароль от учётной записи My Kaspersky.
  4. Зайти в кабинет и узнать PIN-код для удаления профиля:
  5. Зайти в настройки профилей и удалить профиль Kaspersky:
  6. Ввести PIN-код из кабинета My Kaspersky:

Только после этого можно было удалить приложение Safe Kids. Как видим, если жертвой преследования становился ребёнок старше 13 лет или совсем не ребёнок, очевидного способа избавиться от слежки не существовало. Подобным образом работали и многочисленные аналоги.

Вывод журналиста: «Kaspersky Safe Kids – лучший инструмент родительского контроля из доступных на iOS.»

Возможно, с технической точки зрения «плотности» опеки и защиты от попыток наблюдаемого вырваться из-под неё продукт Касперских и «лучший», но если посмотреть с других точек зрения – становится неуютно. Попробуем разобраться, что здесь не так.

Что не так с приложениями контроля экранного времени

Родительский контроль – частный случай контроля экранного времени. До описываемых событий в App Store присутствовало довольно много приложений, реализующих контроль экранного времени через корпоративные сертификаты MDM. Контроль посещаемых ресурсов часто осуществлялся посредством ещё одной функции, использование которой нарушает правила App Store – локального VPN, подобного тому, что присутствует в некоторых блокировщиках рекламы (например, AdGuard).

Контроль экранного времени в целом и родительский контроль в частности – палка о двух концах, которая легко (слишком легко) превращается в шпионаж и преследование. Означает ли это, что все приложения родительского контроля вредны, их использование нужно запретить и от них отказаться? Думаю, нет.

Да, любые без исключения средства мониторинга и контроля можно использовать для подглядывания, шпионажа и преследования. Тем не менее, до определённого возраста право родителей осуществлять контроль за использованием гаджетов детьми, как правило, не оспаривается.

В разных странах различаются как законы, так и условия жизни. В некоторых странах поставлены вне закона технические средства, которые можно использовать для шпионажа и преследования, но практически везде делаются исключения для средств родительского контроля. Как правило, использование таких средств законно по отношению к лицам любого пола, но с ограничением по возрасту (в Европе, к примеру, этот возраст — 13 лет).

В некоторых странах шпионаж и преследование женщин – нормальная практика, узаконенная государством. Вот, например, до чего может дойти.

В приложении Absher (“Госуслуги”) одной из «услуг», предоставляемых государством Саудовской Аравии, является слежка за лицами женского пола и контроль за пересечением границы опять же лицами женского пола. Женщина не может покинуть страну без разрешения мужчины, а при попытке это сделать мужчина получит моментальное уведомление. В феврале 2018 двум сёстрам из Саудовской Аравии удалось покинуть мусульманский рай, получив доступ к телефону мужчины и выдав себе разрешение на поездку от его имени (одновременно заблокировав уведомления). В том же месяце история широко разошлась в средствах массовой информации.

Как мы знаем, Apple зорко отслеживает возможные нарушения прав человека; это же подтвердил в своём интервью и глава компании Тим Кук, пообещав «посмотреть». Очевидно, портить отношения с целой страной компании не захотелось, и дело было спущено на тормозах. В конце апреля сёстры-беглянки напомнили о своём существовании, попытавшись поднять вторую волну публикаций, но на сей раз руководство Apple не сочло нужным как-либо отреагировать. К слову, в Google никак не отреагировали и на первую волну публикаций.

Делаем первый важный вывод: так – можно, но только если вы – гражданин Саудовской Аравии.

Второй вывод в том, что для вполне законного контроля и преследования кого бы то ни было можно обойтись и без каких-либо профилей и сертификатов: вполне достаточно пограничного контроля и портала «Госуслуг» в соответствующей стране.

Наконец, третий вывод: для того уровня контроля, который реализован в приложении Absher, не нужно и само приложение. Уведомления о попытке сбежать из страны могут с тем же успехом доставляться и по email или посредством SMS, а разрешительные (или запретительные) действия можно проделать через любой веб-браузер. Проблема здесь не в App Store и даже не в приложении.

Как делать правильно?

Помимо законов есть и личные предпочтения родительского контроля, которые могут быть в диапазоне от «запретить всё» до «всё равно бесполезно» включительно, со всеми промежуточными остановками. По мнению автора, родительский контроль имеет право на существование при соблюдении некоторых граничных условий. Условий немного:

  1. Родительский контроль используется в явном виде (ребёнок знает о его существовании).
  2. Детализация статистики не переходит черту разумного (разница между «оградить от общения с педофилами» и «читать всю переписку» существует, и реализуется она совершенно не техническими методами).
  3. По достижении определённого законом возраста (в разных странах он свой; например, в странах ЕС это 16 лет) у ребёнка должна быть очевидная техническая возможность выйти из-под родительского контроля — самостоятельно и не спрашивая разрешения у родителей. (К слову, мы проверили: и в Google Family Link, и в Apple Screen Time это работает, и работает предельно чётко и однозначно). Как следствие из этого пункта – у родителей не должно быть возможности возобновить контроль техническими средствами без разрешения совершеннолетнего отпрыска (см. «преследование»).
  4. Технические средства родительского контроля должны обладать чётко прописанными политиками приватности и работающими механизмами безопасности и охраны персональных данных (тут можно вспомнить про китайские детские часы с GPS-трекерами, данными с которых может воспользоваться практически кто угодно).

Из указанных выше пунктов важны все. Отрицательных примеров настолько много, что даже нет смысла их искать – от многочисленных кейлоггеров родом из конца 90-х до разнообразных носимых устройств, обещающих обезопасить ребёнка, но на практике лишь предоставляющих потенциальным преступникам дополнительный удобный инструмент. Автор знаком с семейством, где мать преследует собственную двенадцатилетнюю дочь – буквально следит за ней, прячась за кустами. Не видит в этом ничего плохого. Дочь знает о поведении матери и стыдится его; в присутствии матери ребёнок замкнут и необщителен, «оживая» лишь в те моменты, когда матери гарантированно нет рядом. В данной ситуации психике ребёнка уже нанесён непоправимый вред: когда девочка вырастет, у неё гарантированно возникнут серьёзные проблемы с социализацией. Давать в руки таким родителям инструменты родительского контроля, позволяющие вести скрытное наблюдение – гарантированное усугубление психологической травмы, связанное с грубым нарушением личного пространства. В интересах детей сделать так, чтобы подобных инструментов родительского контроля не было. Вполне достаточно одного, централизованного и «правильного» решения, очень похожего на встроенный в iOS 12 режим «Экранного времени».

Выполняются ли в приложении «Экранное время» граничные условия?

  1. Информирование ребёнка отдаётся на усмотрение родителей. Технически приложение «Экранное время» не пытается себя спрятать или замаскировать.
  2. Статистика достаточно детальна, чтобы узнать, какие приложения и сколько времени использовал ребёнок, какие веб-сайты посещал в браузере Safari – но не более того. Перехвата клавиатуры нет, чаты не отслеживаются, журналы общения не ведутся.
  3. Если Apple ID ребёнка участвовала в «Семейном доступе», то по достижении возраста, определённого законодательством страны, в которой зарегистрирован Apple ID, ребёнок может самостоятельно выйти из «Семейного доступа» и отключить «Экранное время». Более того, ограничения «Экранного времени», установленные родителями, а также возможность дистанционного отслеживания средствами «Экранного времени» будут отключены автоматически. До совершеннолетия ребёнок может покинуть «Семейный доступ» в 13 лет, если законом соответствующей страны не предусмотрено иного (в странах ЕС этот возраст – 16 лет). До этого времени ребёнок должен оставаться в «Семейном доступе». Наконец, если «Экранное время» использовалось без «Семейного доступа», то единственный способ самостоятельно сбросить пароль ограничений – сброс всего устройства (альтернатива – воспользоваться одним из многочисленных приложений, которые могут извлечь пароль «Экранного времени» из резервной копии устройства, локальной или облачной).

Вывод? Условия выполняются с натяжкой. Если Apple ID ребёнка не участвовал в «Семейном доступе», а ограничения «Экранного времени» были настроены, единственный штатный способ избавиться от ограничений – сброс устройства. Нештатные способы существуют в виде сторонних приложений, которые способны извлечь соответствующий пароль из резервной копии устройства, созданной посредством iTunes или извлечённой из «облака» iCloud. Ещё один отрицательный момент – ребёнок не сможет после сброса восстановить устройство из резервной копии; если это сделать, то пароль «Экранного времени» будет также восстановлен:

«Если вы забыли пароль для ограничений, установленный в предыдущей версии iOS, или же пароль к функции «Экранное время», сотрите все данные с устройства и настройте его как новое, чтобы удалить пароль. При восстановлении данных устройства из резервной копии пароль не удаляется.» (источник)

Каков минимально необходимый уровень родительского контроля? Универсального рецепта нет: многое зависит как от возраста ребёнка, так и от условий окружающей среды с акцентом на здравый смысл родителей. В семье автора данного текста контроль ограничен сбором статистики (время использования устройства и приложений без автоматизированных ограничений) и функцией, ограничивающий контент 18+ и тот, что был признан неприемлемым сообществами соответствующих социальных сетей. Также ограничена возможность сброса устройства и смены Apple ID.

А что насчёт возраста ребёнка? До 16 (в ряде стран – 18) лет у ребёнка нет законного способа вырваться из-под цифровой гиперопеки, если таковая имеет место быть. Хорошо, если ребёнок окажется умнее родителей и сумеет сохранить частицу приватности в условиях постоянной слежки (в американских СМИ о таких случаях пишут сплошь и рядом). Иногда единственный вариант – сброс устройства до заводских настроек, создание свежего Apple ID с двухфакторной аутентификацией и настройка с нуля.

Полный назад!

В июне 2019 Apple отменяет запрет на использование MDM-сертификатов для приложений родительского контроля. Было ли решение принято под давлением судебных исков от многочисленных разработчиков подобных приложений? Неизвестно, но вряд ли: одновременно с решением отменить ограничения для приложений родительского контроля в Apple отменили и введённое годом ранее ограничение на использование так называемых «локальных VPN» приложениями для блокировки рекламы (например, iOS-версия AdGuard Pro). Сторонники гиперопеки скоро смогут вновь воспользоваться сомнительными инструментами родительского контроля, которые легко можно превратить в технические средства для слежки и преследования.

Заключение

Как сделать так, чтобы родительский контроль не превратился в гиперопеку? Где грань между интересами ребёнка и преследованием? Какие вещи можно и нужно ограничивать технически, а какие требуют от родителей – быть родителями и общаться с собственным ребёнком? Найти точку равновесия трудно, тем более, что баланс зависит как от внешних факторов, так и от убеждений самих родителей. В таком контексте «Экранное время» выглядит разумным компромиссом, предоставляя возможности для контроля использования гаджетов и мониторинга за действиями ребёнка – не переходящего (или переходящего?) ту грань, когда мониторинг превращается в слежку и преследование. Выглядит ли разумным решение Apple ограничить возможности сторонних приложений контроля экранного времени? С точки зрения общественного психологического здоровья и защиты интересов детей (в ущерб паранойе их родителей) решение выглядит весьма разумным. С точки зрения препятствования конкуренции решение выглядит более сомнительно – но данный случай не первый и не последний в череде подобных.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
НАШИ НОВОСТИ