Китайское приложение Meitu обвинили в сборе персональных данных
Специалисты в сфере кибербезопасности обвинили китайское приложение Meitu, которое обрабатывает фотографии, придавая пользователям сходство с аниме-персонажами, в незаконном сборе персональных данных, пишет портал Cnet.com.
«Прежде чем зайти в App Store или Google Play, чтобы загрузить бесплатную версию приложения, вы должны кое-что узнать: Meitu запрашивает «ужасное» количество ваших данных и, кроме того, содержит довольно подозрительный код», — говорится в статье.
Приложение запрашивает у пользователей стандартные разрешения на использование функций камеры, памяти телефона и интернет-подключения. Однако помимо этого, как пишет издание, приложение для Android также получает доступ к информации о других запущенных программах, телефонный номер абонента, а также данные о его звонках и местоположении.
Что касается версии для iOS, то приложение также запрашивает нетипичные для фоторедактора данные. Как заметил специалист по кибербезопасности Джонатан Здзиарски, приложение использует данные о том, каким сотовым оператором вы пользуетесь, а также проверяет, был ли телефон пользователя подвергнут джейлбрейку.
Приложение также узнает идентификатор мобильного оборудования пользователя (IMEI). По словам эксперта под псевдонимом FourOctets, приложение направляет данные о IMEI на несколько серверов, которые находятся в Китае. Как отмечает портал, нельзя исключать, что личные данные пользователей потом могут продаваться.
«Единственная цель, с которой мы собираем данные — оптимизация производительности приложения, а также понимание того, как пользователи взаимодействуют с рекламой, — рассказал РБК представитель американского офиса компании Эрик Виллинес. «Meitu не продает пользовательские данные ни в какой форме», — подчеркнул он.
Виллинес пояснил, что в компании считают, что требования, которые приложение запрашивает при установке, соответствуют рекомендациям App Store и Google Play для разработчиков и ничем не отличаются от требований лидирующих фоторедакторов.
Так как штаб-квартира Meitu находится в Китае, многие из услуг, предоставляемых в магазинах приложений для отслеживания Data и рекламной аналитики, заблокированы, сетует Виллинес. Но сервис обходит эту проблему, используя комбинацию сторонних и внутренних систем отслеживания. Это анализатор данных Umeng, компания AppsFlyer, которая специализируется на мобильной рекламе и маркетинговой аналитике, а также собственный инструмент MeiTu для работы с рекламой.
«В некоторых случаях Meitu не может получить одновременно IMEI и MAC-адрес, который необходим для сбора аналитики, — объясняет представитель. — Случается и такое, что различные устройства имеют один и тот же номер IMEI. Тогда мы объединяем эти два идентификатора в один уникальный, и отслеживаем пользовательские устройства».
Виллинес также пояснил, зачем Meitu проверяют гаджеты пользователей на взлом. По его словам, это делается ради безопасности сервиса: взломанные устройства могут менять исходный код приложения, что приводит к ошибкам. Представитель Meitu подчеркнул, что компания думает и о безопасности аудитории, используя HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Сервера компании оснащены брандмауэром и системами обнаружения атак.
Китайское приложение Meitu было создано в 2008 году. Как пишет The Telegraph, сервис давно стал хитом среди азиатских пользователей, однако в европейских и американских магазинах приложений он появился только в январе 2017 года и тут же стал набирать популярность. По словам Виллинеса, в настоящее время аудитория сервиса составляет более 450 млн уникальных пользователей в месяц.
Как заявил РБК эксперт «Лаборатории Касперского» Виктор Чебышев, ничего подозрительного в том, что это приложение просит данные, нет. «Они необходимы встроенным рекламным модулям для осуществления таргетированной рекламы. Данное приложение содержит несколько рекламных модулей. После получения разрешений приложение начинает собирать данные пользователя (геолокацию и другие), чтобы далее показывать таргетированную рекламу. Это одни из самых популярных способов монетизации приложений сегодня, как и In-app purchase», — пояснил Чебышев.
В то же время руководитель отдела безопасности мобильных приложений, Positive Technologies Артем Чайкин считает, что к данному приложению стоит отнестись с осторожностью. «Можно отметить, что приложение требует доступ к чтению и отправке СМС сообщений, что может свидетельствовать о вредоносной функциональности. Также приложение требует доступ к записи аудио с микрофона, GPS-координатам, контактам пользователя на телефоне, может звонить по произвольным номерам, а также редактировать историю звонков. Последние версии Android умеют отключать определенные привилегии для приложений, однако мы рекомендуем не полагаться на эту функциональность, так как вредоносное ПО все чаще использует механизмы обхода подобных ограничений, и не устанавливать сомнительные приложения», — заключил он.
Руководитель одного из направлений в компании Solar Security, производителя решений для мониторинга информационной безопасности, Даниил Чернов сказал РБК, что они оценили уровень безопасности Meitu на 0,1 балл из 5.
«У приложения более 90 критичных уязвимостей. Передача данных не защищена, обработанные в приложении фото можно легко украсть. Оно также имеет доступ к отправке СМС, о чем не уведомляет пользователей. Поскольку это не описано в функциональности приложения, возможность отправки СМС является недекларированной возможностью. Какие СМС он шлет и куда, не очень понятно», — сказал Чернов.
Он предположил, что теоретически приложение может отправлять СМС на короткие номера, за что с пользователя будут списаны деньги. Может ли приложение куда-то пересылать сообщения пользователя, представитель Solar Security ответить не смог, поскольку это, по его словам, требует более долгого и тщательного анализа.
© РБК