Специалисты по кибербезопасности заподозрили популярное приложение Meitu в сборе личных данных пользователей, а его разработчиков — в торговле этими данными. В самой компании РБК заявили, что единственная цель сбора личной информации — «оптимизация производительности приложения»
Специалисты в сфере кибербезопасности обвинили китайское приложение Meitu, которое обрабатывает фотографии, придавая пользователям сходство с аниме-персонажами, в незаконном сборе персональных данных, портал Cnet.com.
«Прежде чем зайти в App Store или Google Play, чтобы загрузить бесплатную версию приложения, вы должны кое-что узнать: Meitu запрашивает «ужасное» количество ваших данных и кроме того, содержит довольно подозрительный код», — говорится в статье.
Приложение требует у пользователей стандартные разрешения на использование функций камеры, памяти телефона и интернет-подключения. Однако помимо этого, как пишет издание, приложение для Android также получает доступ к информации о других запущенных программах, телефонный номер абонента, а также данные о его звонках и местоположении.
Что касается версии для iOS, приложение также запрашивает нетипичные для фоторедактора данные. Как заметил специалист по кибербезопасности Джонатан Здзиарски, оно требует информацию, каким сотовым оператором вы пользуетесь, а также проверяет, был ли телефон пользователя подвергнут джейлбрейку.
Приложение также узнает идентификатор мобильного оборудования пользователя (IMEI). По словам эксперта под псевдонимом FourOctets, оно направляет данные о IMEI на несколько серверов, которые находятся в Китае. Как отмечает портал, нельзя исключать, что личные данные пользователей потом могут продаваться.
«Единственная цель, с которой мы собираем данные, — оптимизация производительности приложения, а также понимание, как пользователи взаимодействуют с рекламой», — рассказал РБК представитель американского офиса компании Meitu Technology Эрик Виллинес. «Meitu не продает пользовательские данные ни в какой форме», — подчеркнул он.
Виллинес пояснил, что, как считают в компании, требования, которые приложение запрашивает при установке, соответствуют рекомендациям App Store и Google Play для разработчиков и ничем не отличаются от требований лидирующих фоторедакторов.
Так как штаб-квартира Meitu находится в Китае, многие из услуг, предоставляемых в магазинах приложений для отслеживания Data и рекламной аналитики, заблокированы, сетует Виллинес. Но сервис обходит эту проблему, используя комбинацию сторонних и внутренних систем отслеживания. Это анализатор данных Umeng, услуги компании AppsFlyer, которая специализируется на мобильной рекламе и маркетинговой аналитике, а также собственный инструмент MeiTu для работы с рекламой.
«В некоторых случаях Meitu не может получить одновременно IMEI и MAC-адрес, который необходим для сбора аналитики, — объясняет представитель. — Случается и такое, что разные устройства имеют один и тот же номер IMEI. Тогда мы объединяем эти два идентификатора в один уникальный и отслеживаем пользовательские устройства».
Виллинес также пояснил, зачем Meitu проверяет гаджеты пользователей на взлом. По его словам, это делается ради безопасности сервиса: взломанные устройства могут менять исходный код приложения, что приводит к ошибкам. Представитель Meitu подчеркнул, что компания думает и о безопасности аудитории, используя HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Сервера компании оснащены брандмауэром и системами обнаружения атак.
Указанное приложение было запущено в 2013 году. Как пишет The Telegraph, сервис давно стал хитом среди азиатских пользователей, однако в европейских и американских магазинах приложений появился только в январе 2017 года и тут же стал набирать популярность. По словам Виллинеса, в настоящее время аудитория сервиса составляет более 450 млн уникальных пользователей в месяц. За пять дней (с 14 января по 19 января 2016 года) в США приложение взлетело с 973-й строчки рейтинга по скачиваниям в App Store до 17-й, свидетельствуют данные аналитической компании App Annie. В Китае на текущий момент Meitu занимает 13-е место, в Гонконге — первое место. В России фотосервис занял 45-ю строчку рейтинга по скачиваю на iPhone всего лишь за день (с 18 по 19 января).
Как заявил РБК эксперт «Лаборатории Касперского» Виктор Чебышев, ничего подозрительного в том, что это приложение просит данные, нет. «Они необходимы встроенным рекламным модулям для осуществления таргетированной рекламы. Данное приложение содержит несколько рекламных модулей. После получения разрешений приложение начинает собирать данные пользователя (геолокацию и другие), чтобы далее показывать таргетированную рекламу. Это один из самых популярных способов монетизации приложений сегодня, как и In-app purchase», — пояснил Чебышев.
В то же время руководитель отдела безопасности мобильных приложений Positive Technologies Артем Чайкин считает, что к данному приложению стоит отнестись с осторожностью. «Можно отметить, что приложение требует доступ к чтению и отправке СМС-сообщений, что может свидетельствовать о вредоносной функциональности. Также приложение требует доступ к записи аудио с микрофона, GPS-координатам, контактам пользователя на телефоне, может звонить по произвольным номерам, а также редактировать историю звонков. Последние версии Android умеют отключать определенные привилегии для приложений, однако мы рекомендуем не полагаться на эту функциональность, так как вредоносное ПО все чаще использует механизмы обхода подобных ограничений, и не устанавливать сомнительные приложения», — заключил он.
Руководитель одного из направлений компании Solar Security, производителя решений для мониторинга информационной безопасности, Даниил Чернов сказал РБК, что они оценили уровень безопасности Meitu на 0,1 из 5 баллов.
«У приложения более 90 критичных уязвимостей. Передача данных не защищена, обработанные в приложении фото можно легко украсть. Оно также имеет доступ к отправке СМС, о чем не уведомляет пользователей. Поскольку это не описано в функциональности приложения, возможность отправки СМС является недекларированной возможностью. Какие СМС он шлет и куда, не очень понятно», — сказал Чернов.
Эксперт предположил, что теоретически приложение может отправлять СМС на короткие номера, за что с пользователя будут списаны деньги. Может ли оно куда-то пересылать сообщения пользователя, представитель Solar Security ответить не смог, поскольку это, по его словам, требует более долгого и тщательного анализа.