Специалисты по кибербезопасности обвинили приложение Meitu в доступе к личным данным пользователей
В январе 2017 года китайский мобильный фоторедактор Meitu, с помощью которого можно превратить себя в персонажа аниме, получил вирусную популярность на Западе и в России. Однако позже эксперты по кибербезопасности и обычные пользователи заметили, что Meitu требует доступ к гораздо большему количеству персональных данных, чем обычно.
Обновлено: компания Meitu опровергла обвинения в передаче данных третьим лицам. Их отслеживание разработчики объяснили особенностью китайского рынка.
Фотография Дональда Трампа, обработанная с помощью Meitu
К 19 января возможность добавить себе большие глаза, румянец на щеках и «кавайный» фон увлекла пользователей по всему миру, а о Meitu написали многие крупные западные СМИ. По данным издания Recode, если раньше на территории США мобильный редактор скачивали около 100 раз в день, то в последние дни количество загрузок увеличилось до 100-200 тысяч.
Но с ростом количества обработанных снимков в Твиттере и Фейсбуке появились сообщения от специалистов по кибербезопасности, призывающих подумать дважды, прежде чем устанавливать приложение на свой смартфон.
Meitu запрашивает у пользователей разрешение на использование стандартных для фоторедактора функций: камеры, памяти телефона и интернет-подключения. Но, как заметил исследователь в области информационной безопасности Грег Лайнарес (Greg Linares), в версии для Android кроме этого редактор получает доступ к информации о других запущенных приложениях, индивидуальный номер абонента (IMSI), данные о звонках, Wi-Fi подключению и местоположению.
Версия для iOS также запрашивает нетипичные для фоторедактора данные. По словам специалиста Джонатана Здзиарски (Jonathan Zdziarski), Apple не позволяет Meitu получить доступ к IMSI, однако приложение использует информацию о сотовом операторе и о том, была ли операционная система смартфона взломана. Эксперт также отметил «подозрительный код», который может нарушать правила App Store о сборе данных.
Глава Sudo Security Group Уилл Страфач (Will Strafach) также проанализировал версию приложения для iOS и опубликовал итог в своем блоге на платформе Medium. Он нашёл несколько разрешений, которые действительно собирают персональные данные пользователей, но отметил, этот случай не является уникальным. По его мнению, подобные действия со стороны разработчиков «становятся чем-то нормальным» для бесплатных приложений, поскольку они потом продают данные маркетологам.
Люди действительно не понимают, насколько такие решения распространены. Кроме того, многие говорят, что версия для Android более «инвазивна», чем для iOS.
Я думаю, очень хорошо, что люди начали обсуждать это, и я надеюсь, что это будет способствовать информационной безопасности. Мы будем изучать больше приложений и то, что они делают.
Несмотря на большое количество публикаций в СМИ, в которых пользователей отговаривают от установки фоторедактора, разработчики не отреагировали на критику Meitu. Сотрудники Recode попытались взять комментарий у компании Meitu, разрабатывающей одноимённое приложение, однако не получили ответа.
Позже в Meitu заявили изданию CNet, что никому не передают полученную информацию о пользователях и надёжно её шифруют. Они отметили, что сбор данных был включён в приложение из-за того, что главный офис компании находится в Китае, где сервисы отслеживания статистики Google Play и App Store заблокированы. Для этого им пришлось внедрить собственную отслеживающую систему.