अगर कोई भी आपके फ़ोन में मौजूद सभी ऐप्स के बारे में जानता हो

 (peabee.substack.com)
2 पॉइंट द्वारा GN⁺ 2025-03-30 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • कुछ साल पहले तक Android apps यूज़र की अनुमति के बिना इंस्टॉल किए गए सभी apps की सूची देख सकते थे
  • Android 11 (2022 से लागू) के बाद Google ने app developers के लिए इंस्टॉल किए गए apps की सूची तक पहुंच सीमित करने हेतु package visibility policy लागू की
  • अपवादस्वरूप file manager, browser, antivirus app जैसे ऐसे apps जिनकी core functionality इसी पर निर्भर है, वे QUERY_ALL_PACKAGES permission मांगकर पूरी app list देख सकते हैं
  • Developers को AndroidManifest.xml में उन apps की सूची स्पष्ट रूप से लिखनी होती है जिन्हें वे जांचना चाहते हैं

भारत के apps इंस्टॉल किए गए apps की सूची का इस्तेमाल कैसे करते हैं

  • लेख के लेखक ने एक secondary Android phone पर कई भारतीय apps इंस्टॉल किए और AndroidManifest.xml files का विश्लेषण किया
  • ज़्यादातर apps सिर्फ़ वही उचित apps जांच रहे थे जो functionality के लिए ज़रूरी हैं, जैसे UPI payment apps
  • लेकिन कुछ apps बहुत बड़ी संख्या में apps को सूचीबद्ध करके ज़रूरत से ज़्यादा जानकारी इकट्ठा कर रहे हैं

Swiggy की app query list

  • Swiggy ने कुल 154 app package names सूचीबद्ध किए
  • इसमें Xbox, Playstation, Naukri, Upstox जैसे food delivery से असंबंधित apps भी शामिल हैं
  • इससे यह संभावना मजबूत होती है कि इसका उद्देश्य customer behavior data के आधार पर user profiling करना है
  • Google की policy के अनुसार इंस्टॉल किए गए apps की सूची को sensitive personal data माना जाता है

Zepto की app query list

  • Zepto ने Swiggy से भी अधिक 165 apps सूचीबद्ध किए
  • इसमें Netflix, Bumble, Binance जैसे लगभग हर category के लोकप्रिय apps शामिल हैं
  • Zepto के बारे में जाना जाता है कि वह iOS और Android users को अलग-अलग कीमतें दिखाता है
  • इस जानकारी के ज़रिए वह Android device users के बीच भी अलग-अलग pricing दिखा सकता है

riders के लिए apps द्वारा app queries

  • Swiggy और Zepto के delivery rider apps भी अलग से app lists query करते हैं
  • Zepto मुख्यतः competitor rider apps की जांच करता है
  • Swiggy इससे आगे बढ़कर personal finance apps, loan apps, यहाँ तक कि Ludo King जैसे game apps भी query करता है
  • यह delivery riders की leisure activity तक पर नज़र रखने जैसा data collection है

loan apps द्वारा अत्यधिक app queries

  • Kreditbee (5 करोड़+ downloads): 860 apps की जांच
  • Moneyview (5 करोड़+ downloads): 944 apps की जांच (पूरी सूची के लिए GitHub लिंक देखें)
  • इसमें calendar, astrology, faith apps, matrimony apps, agriculture apps आदि, जीवन के लगभग हर हिस्से से जुड़े apps शामिल हैं
  • Google की QUERY_ALL_PACKAGES प्रतिबंध policy को दरकिनार करने के लिए apps को एक-एक करके सूचीबद्ध करने का तरीका इस्तेमाल किया गया

Cred द्वारा अपवादस्वरूप permission का उपयोग

  • Cred अकेला ऐसा app था जो QUERY_ALL_PACKAGES permission का उपयोग करता है
  • Google ऐसे मामलों में इसे अस्थायी रूप से अनुमति देता है जहाँ financial transaction functionality core हो
  • लेकिन PhonePe, Paytm जैसे अन्य financial apps यह permission इस्तेमाल नहीं करते
  • Cred loan services भी देता है, इसलिए policy violation की संभावना हो सकती है

ACTION_MAIN filter से bypass करने का तरीका

  • कुछ apps ACTION_MAIN intent filter का उपयोग करके सभी UI apps की पहचान कर सकते हैं
  • इस तरीके से QUERY_ALL_PACKAGES permission के बिना भी इंस्टॉल किए गए apps की सूची अप्रत्यक्ष रूप से देखी जा सकती है
  • एक test app बनाकर किए गए प्रयोग में इस तरीके से पूरी app list प्राप्त की जा सकी
  • Play Store को इसे रोकना चाहिए, लेकिन व्यवहार में enforcement काफ़ी ढीली है

filter इस्तेमाल करने वाले apps की सूची

  • इंस्टॉल किए गए apps की जांच के लिए filter इस्तेमाल करने वाले apps:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • filter इस्तेमाल नहीं करने वाले apps:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy filter और direct listing दोनों का उपयोग करता है (इस वजह से उसका data collection तरीका उलटे ज़्यादा transparent है)

global apps में भी filter उपयोग अलग-अलग

  • filter इस्तेमाल करते हैं: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • filter इस्तेमाल नहीं करते: Amazon, Spotify, X(Twitter), Discord, WhatsApp

app install data कितना sensitive है

  • 2022 में Vice ने रिपोर्ट किया था कि अमेरिका के data brokers period tracking app install information का व्यापार कर रहे थे
  • इसी तरह इंस्टॉल किए गए apps की सूची किसी व्यक्ति की मान्यताओं, स्वास्थ्य, आर्थिक स्थिति जैसी sensitive जानकारी उजागर कर सकती है

Zepto द्वारा SMS permission के उपयोग का मामला

  • Zepto READ_SMS permission मांगता है
  • Zepto Postpaid feature इस्तेमाल करते समय यह आवश्यक होता है, और वास्तव में user के चुने बिना भी SMS पढ़े जा सकते हैं
  • Blinkit, Swiggy, Flipkart आदि के messages भी analysis के दायरे में आ सकते हैं

निष्कर्ष

  • अधिकांश apps बिना अत्यधिक permissions मांगे सामान्य दायरे में काम करते हैं
  • लेकिन कुछ apps bypass techniques और बहुत ज़्यादा package listing के ज़रिए user के इंस्टॉल किए गए apps का data इकट्ठा करते हैं
  • users को यह समझना चाहिए कि app install करते समय ऐसी जानकारी आसानी से उजागर हो सकती है
  • यह जानकारी अंततः data brokers के माध्यम से बेची जा सकती है और आगे चलकर price discrimination या ad targeting में उपयोग हो सकती है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.