Výzkumníci z Cybernews analyzovali 10 aplikací pro operační systém Android, které doprovázejí AI hračky pro děti (Loona, Dash & Dot, Sphero, mBlock, Miko, Eilik, Spike, Lego Education, Ozobot Evo, Petoi a Aibi Pocket). Pro každou aplikaci byly použity dva veřejné zdroje: výpis v obchodě Google Play Store, který obsahuje deklaraci „Data safety“ a rozšířený seznam oprávnění aplikace, a odpovídající zpráva z platformy Exodus Privacy.
Každá analyzovaná aplikace v průměru deklarovala 17 oprávnění, z nichž 6 bylo klasifikováno jako „nebezpečných“. Aplikace Miko vedla s 9 nebezpečnými oprávněními, včetně přístupu k informacím o poloze a ke kameře. Aplikace mBlock měla rovněž 9 nebezpečných oprávnění a aplikace Aibi Pocket robot 8. Nejméně nebezpečných oprávnění (3) vyžadovala aplikace Spike Lego Education.
Všechny aplikace požadují přístup k přesné poloze
Všech 10 analyzovaných aplikací požadovalo přístup k přesné poloze, která podle dokumentace systému Android dokáže určit polohu uživatele s přesností přibližně 50 metrů. Jedna aplikace, Loona, navíc požaduje polohu na pozadí, což jí umožňuje sledovat polohu i poté, co uživatel aplikaci zavře.
Osm z deseti aplikací požadovalo oprávnění pro skenování a připojení Bluetooth, 6 aplikací požadovalo přístup k mikrofonu a 5 aplikací přístup ke kameře.
Zatímco některá oprávnění mohou být pro správnou funkci hračky nezbytná, požadavky na přesnou polohu, přístup ke kameře a další citlivá oprávnění vyvolávají otázky ohledně minimalizace dat v aplikacích určených pro děti. Tato otázka byla nastolena již dříve a v roce 2025 došlo ke změnám pravidla Children's Online Privacy Protection Rule (COPPA). Změny mimo jiné zahrnovaly požadavek na souhlas rodičů pro cílenou reklamu a další zveřejnění údajů třetím stranám.
Sledovací nástroje třetích stran
Kromě oprávnění obsahuje 7 z 10 analyzovaných aplikací také sledovací nástroje (trackery), které mohou sledovat chování související s analytikou, hlášením pádů aplikace, profilováním uživatelů nebo reklamou. Zatímco oprávnění lze odmítnout, sledovací nástroje fungují bez nutnosti souhlasu. Jde o SDK třetích stran vložené do kódu aplikace, které začínají fungovat okamžikem, kdy uživatel aplikaci otevře. Aplikace Miko zde opět vede s 8 sledovacími nástroji.
Nejčastějšími sledovacími nástroji byly analytické nástroje a nástroje pro hlášení pádů aplikace. Analytické nástroje sbírají data týkající se toho, jak lidé aplikaci používají (návštěvy obrazovek, interakce, délka relace), a nástroje pro hlášení pádů zachycují diagnostická data.
Citlivější z hlediska ochrany soukromí jsou reklamní, profilovací a polohové sledovací nástroje. Reklamní sledovací nástroje (přítomné ve 2 aplikacích) zahrnují sdílení dat s třetími stranami a měří efektivitu reklamy. Přítomnost reklamních sledovacích nástrojů v aplikacích pro děti z nich dělá komerční cíl od okamžiku otevření aplikace. Profilovací sledovací nástroje (přítomné ve 2 aplikacích) lze použít k vytváření podrobných profilů na základě chování, zájmů a demografických údajů uživatele.
Aplikace Loona jako jediná z 10 analyzovaných aplikací obsahuje polohový sledovací nástroj. Společně mohou tyto sledovací nástroje shromažďovat informace nad rámec toho, co je nezbytně nutné pro základní funkci hračky.
Minimalizace dat jako priorita
Podle výzkumníků z Cybernews je minimalizace dat u aplikací pro děti zásadní. Odpovědnost spočívá jak na vývojářích, aby požadovali méně oprávnění a minimalizovali citlivé sledovací nástroje, tak na rodičích, aby měli větší kontrolu nad technologiemi dostupnými jejich dětem. Na rozdíl od dospělých děti s menší pravděpodobností pochopí, jaká data jsou shromažďována, jak mohou být použita nebo jaké jsou důsledky jejich sdílení pro soukromí.
Metodika
Pro analýzu byl sestaven vzorek 10 aplikací pro Android, které doprovázejí AI a robotické hračky pro děti. Pro každou aplikaci byly použity dva veřejné zdroje: výpis v obchodě Google Play Store, ze kterého byla převzata vývojářem deklarovaná tabulka „Data safety“, rozšířená „Oprávnění aplikace“, počet stažení, hodnocení obsahu, verze a datum poslední aktualizace, a odpovídající zpráva z platformy Exodus Privacy.
Zpráva Exodus Privacy analyzuje Android Package Kit (APK) a uvádí jak vložené sledovací SDK, tak úplný seznam deklarovaných oprávnění s úrovněmi ochrany Android Open Source Project (AOSP). Porovnání těchto zdrojů umožňuje výzkumníkům zjistit, zda jsou informace zveřejněny správně nebo jsou nedostatečně deklarovány.
Každé oprávnění bylo označeno úrovní ochrany AOSP pomocí oficiální referenční příručky oprávnění Android Manifest. Každý sledovací nástroj byl označen jednou nebo více kategoriemi podle zpráv Exodus. Deklarace „Data safety“ v obchodě Play byla porovnána s důkazy z Exodus a oprávněními a pro každou aplikaci byla označena jako konzistentní, nedostatečně deklarovaná nebo nadměrně deklarovaná.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU