Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Военная операция на Украине. Главное Политика, 14:17
Энергетики Белорусской АЭС переняли опыт цифровизации у Балаковской АЭС Пресс-релиз, 14:14
Омбудсмен призвала проверить смерть двух мобилизованных на Урале Политика, 14:08
Без сборов, штрафов и овербуков: что может сервис для деловых поездок РБК и Smartway, 14:06
МВД опубликовало коды автомобильных номеров для новых субъектов России Политика, 14:04
Яшин сообщил, что СК обвинил его в «неприязни к политической системе» Общество, 14:01
Военная операция на Украине. Онлайн Политика, 13:59
Объясняем, что значат новости
Вечерняя рассылка РБК
Подпишитесь за 99 ₽ в месяц
Таланты со временем портятся: как проверять высокий потенциал сотрудников Pro, 13:54
В Калуге средства на новогодние украшения направят мобилизованным Общество, 13:52
Пушилин сообщил об отступлении ВСУ в Артемовске Политика, 13:48
Как проходили съемки фильма «Вызов» на «Байконуре». Фоторепортаж Life, 13:46
Аксаков предложил привлекать к ответственности за криптоплатежи в России Крипто, 13:43
Песков назвал обязательным участие России в проверке ЧП на газопроводах Политика, 13:37
Российских боксеров допустили на международные соревнования Спорт, 13:36
Технологии и медиа ,  
0 

Китайское приложение Meitu обвинили в сборе персональных данных

Специалисты по кибербезопасности заподозрили популярное приложение Meitu в сборе личных данных пользователей, а его разработчиков — в торговле этими данными. В самой компании РБК заявили, что единственная цель сбора личной информации — «оптимизация производительности приложения»
Фото: Reuters/Pixstream
Фото: Reuters/Pixstream

Специалисты в сфере кибербезопасности обвинили китайское приложение Meitu, которое обрабатывает фотографии, придавая пользователям сходство с аниме-персонажами, в незаконном сборе персональных данных, пишет портал Cnet.com.

«Прежде чем зайти в App Store или Google Play, чтобы загрузить бесплатную версию приложения, вы должны кое-что узнать: Meitu запрашивает «ужасное» количество ваших данных и, кроме того, содержит довольно подозрительный код», — говорится в статье.

Приложение требует у пользователей стандартные разрешения на использование функций камеры, памяти телефона и интернет-подключения. Однако помимо этого, как пишет издание, приложение для Android также получает доступ к информации о других запущенных программах, телефонный номер абонента, а также данные о его звонках и местоположении.

Что касается версии для iOS, приложение также запрашивает нетипичные для фоторедактора данные. Как заметил специалист по кибербезопасности Джонатан Здзиарски, оно требует информацию, каким сотовым оператором вы пользуетесь, а также проверяет, был ли телефон пользователя подвергнут джейлбрейку (операция, которая позволяет получить доступ к файловой системе iPhone, iPod или iPad, чтобы сделать возможной поддержку тем оформления и установку приложений из альтернативных Apple источников).

Приложение также узнает идентификатор мобильного оборудования пользователя (IMEI). По словам эксперта под псевдонимом ​FourOctets, оно направляет данные о IMEI на несколько серверов, которые находятся в Китае. Как отмечает портал, нельзя исключать, что личные данные пользователей потом могут продаваться.

Зачем Meitu данные

«Единственная цель, с которой мы собираем данные, — оптимизация производительности приложения, а также понимание, как пользователи взаимодействуют с рекламой», — рассказал РБК представитель американского офиса компании Meitu Technology ​Эрик Виллинес. «Meitu не продает пользовательские данные ни в какой форме», — подчеркнул он.

Pro
Фото: Владислав Шатило / РБК Русский транзит: как не прогореть, торгуя параллельным импортом
Pro
Фото: Stuart C. Wilson / Getty Images Сейчас тревожно не только родителям, но и детям. Вот как им помочь
Pro
Фото: Leon Neal / Getty Images Сравняла ли удаленка зарплаты в ИТ между Москвой и регионами
Pro
Фото: Михаил Метцель / ТАСС Что сейчас покупают на Wildberries: рейтинг поставщиков
Pro
Фото: Chip Somodevilla / Getty Images Как убеждать аудиторию и оппонентов с помощью инструментов Аристотеля
Pro
Фото: Leon Neal / Getty Images Экс-CEO Burberry: «Не имея контроля над всем, вы не контролируете ничего»
Pro
«Вы нам не подходите»: как отказать кандидату и не оказаться в суде
Pro
Фото: Alex Domanski / Reuters Разминка на стуле: 5 упражнений для офисных работников

Виллинес пояснил, что, как считают в компании, требования, которые приложение запрашивает при установке, соответствуют рекомендациям App Store и Google Play для разработчиков и ничем не отличаются от требований лидирующих фоторедакторов.

Так как штаб-квартира Meitu находится в Китае, многие из услуг, предоставляемых в магазинах приложений для отслеживания Data и рекламной аналитики, заблокированы, сетует Виллинес. Но сервис обходит эту проблему, используя комбинацию сторонних и внутренних систем отслеживания. Это анализатор данных Umeng, услуги компании AppsFlyer, которая специализируется на мобильной рекламе и маркетинговой аналитике, а также собственный инструмент Meitu для работы с рекламой.

«В некоторых случаях Meitu не может получить одновременно IMEI и MAC-адрес, который необходим для сбора аналитики, — объясняет представитель. — Случается и такое, что разные устройства имеют один и тот же номер IMEI. Тогда мы объединяем эти два идентификатора в один уникальный и отслеживаем пользовательские устройства».

Виллинес также пояснил, зачем Meitu проверяет гаджеты пользователей на взлом. По его словам, это делается ради безопасности сервиса: взломанные устройства могут менять исходный код приложения, что приводит к ошибкам. Представитель Meitu подчеркнул, что компания думает и о безопасности аудитории, используя HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Сервера компании оснащены брандмауэром и системами обнаружения атак.

Указанное приложение было запущено в 2013 году. Как пишет The Telegraph, сервис давно стал хитом среди азиатских пользователей, однако в европейских и американских магазинах приложений появился только в январе 2017 года и тут же стал набирать популярность. По словам Виллинеса, в настоящее время аудитория сервиса составляет более 450 млн уникальных пользователей в месяц. За пять дней (с 14 января по 19 января 2016 года) в США приложение взлетело с 973-й строчки рейтинга по скачиваниям в App Store до 17-й, свидетельствуют данные аналитической компании App Annie. В Китае на текущий момент Meitu занимает 13-е место, в Гонконге — первое место. В России фотосервис занял 45-ю строчку рейтинга по скачиванию на iPhone всего лишь за день (с 18 по 19 января).

Есть ли угроза для пользователей

Как заявил РБК эксперт «Лаборатории Касперского» Виктор Чебышев, ничего подозрительного в том, что это приложение просит данные, нет. «Они необходимы встроенным рекламным модулям для осуществления таргетированной рекламы. Это приложение содержит несколько рекламных модулей. После получения разрешений приложение начинает собирать данные пользователя (геолокацию и другие), чтобы далее показывать таргетированную рекламу. Это один из самых популярных способов монетизации приложений сегодня», — пояснил Чебышев.

В то же время руководитель отдела безопасности мобильных приложений Positive Technologies Артем Чайкин считает, что к приложению стоит отнестись с осторожностью. «Оно требует доступ к чтению и отправке СМС-сообщений, что может свидетельствовать о вредоносной функциональности. Также приложение требует доступ к записи аудио с микрофона, GPS-координатам, контактам пользователя на телефоне, может звонить по произвольным номерам, а также редактировать историю звонков. Последние версии Android умеют отключать определенные привилегии для приложений, однако мы рекомендуем не полагаться на эту функциональность, так как вредоносное ПО все чаще использует механизмы обхода подобных ограничений, и не устанавливать сомнительные приложения», — заключил он.

Руководитель одного из направлений компании Solar Security, производителя решений для мониторинга информационной безопасности, Даниил Чернов сказал РБК, что они оценили уровень безопасности Meitu на 0,1 из 5 баллов.

«У приложения более 90 критичных уязвимостей. Передача данных не защищена, обработанные в приложении фото можно легко украсть. Оно также имеет доступ к отправке СМС, о чем не уведомляет пользователей. Поскольку это не описано в функциональности приложения, возможность отправки СМС является недекларированной возможностью. Какие СМС он шлет и куда, не очень понятно», — сказал Чернов.

Эксперт предположил, что теоретически приложение может отправлять СМС на короткие номера, за что с пользователя будут списаны деньги. Может ли оно куда-то пересылать сообщения пользователя, представитель Solar Security ответить не смог, поскольку это, по его словам, требует более долгого и тщательного анализа.

Авторы
Теги