Приложение для обработки фото Meitu обвиняют в шпионаже за пользователями

Специалисты по кибербезопасности обвиняют китайское приложение для обработки фотографий Meitu в сборе информации о пользователях и последующей торговле данными. Об этом пишет Cnet.com.

Приложение для обработки фотографий для получения схожести с аниме-персонажами просит у пользователей операционной системы Android разрешение на использование камеры, памяти смартфона, интернет-подключения, а также информацию о других запущенных программах, телефонный номер абонента, данные об его местоположении и других звонках. Приложение для iOS требует у пользователя информацию о сотовом операторе и проверяет, был ли iPhone подвергнут джейлбрейку. Также приложение запрашивает данные о номере мобильного оборудования пользователя (IMEI), а потом отправляет данные на сервера в Китае — возможно, с дальнейшей целью перепродажи. «Единственная цель, с которой мы собираем данные, — оптимизация производительности приложения, а также понимание, как пользователи взаимодействуют с рекламой», — рассказал РБК представитель американского офиса компании Meitu Technology Эрик Виллинес. «Meitu не продаёт пользовательские данные ни в какой форме», — подчеркнул он. Также он отметил, что эти пользовательские требования ничем не отличаются от рекомендуемых App Store и Google Play.

По словам Виллинеса, штаб-квартира Meitu находится в Китае и многие из услуг, предоставляемых в магазинах приложений для отслеживания data- и рекламной аналитики, заблокированы. «В некоторых случаях Meitu не может получить одновременно IMEI и MAC-адрес, который необходим для сбора аналитики, — объясняет представитель. — Случается и такое, что разные устройства имеют один и тот же номер IMEI. Тогда мы объединяем эти два идентификатора в один уникальный и отслеживаем пользовательские устройства».

В то же время руководитель отдела безопасности мобильных приложений Positive Technologies Артём Чайкин считает, что пользователи должны осторожно работать с Meitu. «Можно отметить, что приложение требует доступ к чтению и отправке СМС, что может свидетельствовать о вредоносной функциональности. Также приложение требует доступ к записи аудио с микрофона, GPS-координатам, контактам пользователя на телефоне, может звонить по произвольным номерам, а также редактировать историю звонков. Последние версии Android умеют отключать определённые привилегии для приложений, однако мы рекомендуем не полагаться на эту функциональность, так как вредоносное ПО всё чаще использует механизмы обхода подобных ограничений, и не устанавливать сомнительные приложения», — заявил он.

Представитель IT-компании Solar Security Даниил Чернов рассказал, что они оценили уровень безопасности Meitu на 0,1 из 5 баллов. «У приложения более 90 критичных уязвимостей. Передача данных не защищена, обработанные в приложении фото можно легко украсть. Оно также имеет доступ к отправке СМС, о чём не уведомляет пользователей. Поскольку это не описано в функциональности приложения, возможность отправки СМС является недекларированной возможностью. Какие СМС он шлёт и куда, не очень понятно», — сказал Чернов.