Рубрика развивается при поддержке HP logo intel logo

Мэрия Москвы выпустила приложение для «слежки» за гражданами. Оно требует доступ к геолокации и передаёт данные в ЕС Статьи редакции

Данные тех, кто зарегистрируется, не будут защищены.

Обновлено: Приложение удалили из магазина.

В Google Play появилось приложение «Социальный мониторинг» от властей Москвы для сбора информации о гражданах. Оно, предположительно, предназначено для наблюдения во время карантина из-за коронавируса Covid-19. На приложение обратили внимание авторы Telegram-канала «Нецифровая экономика». В App Store сервис пока отсутствует.

Приложение вышло 25 марта. Разработчиком значится ГКУ «Информационный город», которое подчиняется департаменту информационных технологий Москвы. Организация уже выпустила несколько других сервисов для мэрии.

В описании приложения указано, что оно предназначено для «социального мониторинга граждан и вызова помощи в экстренной ситуации». Редактор TJ попытался его установить: сервис потребовал предоставить доступ к шести категориям данных, в том числе о геолокации и звонках.

К каким данным требует доступ «Социальный мониторинг»:

  • Доступ к фото и видеосъёмке;
  • Доступ к точному и примерному местоположению;
  • Разрешение на совершение звонков;
  • Получение данных о статусе телефона;
  • Датчики о состоянии организма (например пульсометр);
  • Просмотр, а также изменение или удаление данных на накопителе;
  • Доступ к запуску активных сервисов;
  • Доступ к настройкам Bluetooth;
  • Управление вибросигналом;
  • Запуск приложения при включении смартфона;
  • Данные о подключении к Wi-Fi, а также управление включением датчика;
  • Неограниченный доступ к сети и к получению данных;
  • Просмотр сетевых подключений;
  • Неограниченный расход батареи;
  • Отключение спящего режима;
  • Play Install Referrer API (отслеживание популярности приложения разработчиками;
  • Установление соединения с Bluetooth-устройствами.

Редактору TJ не удалось зарегистрироваться в приложении: на этапе ввода номера телефона оно зависло. С похожей проблемой столкнулась Русская служба Би-би-си, у сотрудника которой не вышло зарегистрироваться из-за ошибки идентификации на этапе фото.

Автор «Нецифровой экономики» зарегистрировался в приложении и успешно сфотографировался. После этого приложение предоставило пользователю доступ к «SOS» и «Последним новостям». Первая кнопка ведёт к вызову экстренных служб, а вторая — на сайт мэрии с описанием ситуации с коронавирусом.

Бывший IT-волонтёр Фонда борьбы с коррупцией, автор Telegram-канала «IT и Сорм» Владислав Здольников изучил приложение и сделал вывод, что оно передаёт информацию на серверы мэрии в открытом виде без шифрования. По его словам, «Социальный мониторинг» распознаёт лица через эстонский сервис identix.one, передавая фотографии на серверы хостинговой компании Hetzner в Германии. Здольников также выяснил, что в QR-кодах зашифрованы индивидуальные идентификаторы устройства (MAC и IMEI).

http://watch.telemetry.mos.ru — видимо, хост, на который отправляет данные приложение для слежки за жителями Москвы

ААААААА!
Данные отправляются по http! Без шифрования! Какой ад https://twitter.com/dmitry_wthr/status/1245069156338278401

В контактных данных разработчиков указана почта wokkalokka.app@gmail.com. Русская служба Би-би-си предположила, что она связана с кемеровской компанией Wokka Lokka, которая разрабатывает приложения для отслеживания местоположения детей. Несмотря на это, название почты расходится с адресами, указанными на сайте Wokka Lokka и описании приложения в Play Market.

Компания Wokka Lokka и её сайт фигурируют в документе с описанием политики конфиденциальности приложения. В нём прописано, что администратором приложения является ООО «ВоккаЛокка», зарегистрированная в городе Кемерово.

Wokka Lokka возглавляет Игорь Афанасьев. Русская служба Би-би-си утверждает, что он также владеет московской компанией «Гаскар Интеграция», у которой есть несколько контрактов с Департаментом информационных технологий (ДИТ) Москвы. Изначально Афанасьев отрицал причастность к разработке приложения, но после того, как журналисты назвали почту, он рекомендовал обратиться в ДИТ.

Несмотря на малое количество скачиваний (около 100), пользователи начали намеренно занижать оценку сервиса. На момент написания новости приложение получило 2,1 тысячи отзывов и общую оценку — 1,0.

29 марта «Медуза» сообщила, что жителей Москвы обяжут получать персональный QR-код для выхода из дома, включая вынос мусора, поход в магазин или поликлинику. Через два дня информацию подтвердили «МБХ Медиа» и «Коммерсантъ». Оба издания отметили, что ссылаются, вероятно, не на финальную версию документа.

{ "author_name": "Arthur Khamzin", "author_type": "self", "tags": ["\u0441\u0435\u0440\u0432\u0438\u0441\u044b","\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 142, "likes": 108, "favorites": 23, "is_advertisement": false, "subsite_label": "tech", "id": 155186, "is_wide": true, "is_ugc": true, "date": "Wed, 01 Apr 2020 01:35:46 +0300", "is_special": false }
0
142 комментария
Популярные
По порядку
Написать комментарий...
Криминальный Макс

Какие-то школьники  опять написали колхоз на коленке
Ясно ред.

88

Комментарий удален по просьбе пользователя

79
Божественный цвет

Какие пиздатые в России школьники всё же.

6

За триллиард налоговых рублей

4

всего 180 лямов

1

зато какие сроки. Обычно за это время успевают только митинги в зуме назначить. А тут уже на проде

0

Примечательно, что по распоряжению наших же законотворцев, все кто обрабатывает и хранят личные данные определенной категории (перечень ща не скажу, но что то из этой прилоги точно там емть), должны их располагать на серверах, находящихся в РФ, иначе бан, штраф, фсб и вся хуйня.
Мало того что это противозаконно, так оно еще и не работает нихуя. ahhahah classic

83

По идее же можно в суд подать, так?

0

По идее да. А еще они в Appstore такое бревно врядли запустят, ну либо можно будет их абузами закидать.

4

По идеи суды сейчас закрыты. Шах и мат.

4

Если вы не передадите персональные данные солдатам НАТО, их передадут Собянин и ДИТ.

53

Не так. "Если бы мы не передали ваши данные солдатам нато, то это сделали бы солдаты нато!" 

13

Помогите оленеводу передать персональные данные солдатам НАТО в увлекательной игре РЕЕЕЕЕ... ой, социальный мониторинг. ред.

2
Совместный каякер

И ДИТКОВСКИЙ

4
Южный Даниль

Собянин и ДИТ

ковский? 

0

Сука, скачал прилогу, там столько всего требуется, что я лучше блять на бонгакамс зарегистрируюсь и оттуда трансляцию вести буду. Ну нахуй!

49
Внутренний корабль

Комментарий удален по просьбе пользователя

31

Побуду адвокатом дьявола.

180 миллионов рублей —  это на модернизацию системы «Мосгорзаказ». Вряд ли вся эта сумма должна была уйти на разработку приложения. И вообще не факт, что этот контракт включал в себя приложение ред.

15

ахахах бляя как же горит от этой глупой пропаганды, в которую давно никто уже не верит

1

Комментарий удален по просьбе пользователя

1

Кулинарные лахтовики вообще неравнодушны к жареному мясу.

1

Все больше кажется что теория о том что шашлычники были переодетыми полицейскими, возможно не такая уж и глупая

0
Внутренний корабль

Комментарий удален по просьбе пользователя

1
Повышенный бас

Комментарий удален по просьбе пользователя ред.

30

Те, кто не предоставит биометрию, будет сидеть дома.

6

И бабульки у которых нет телефона умрут с голоду

34
Совместный каякер

В ПФР не нарадуются от такого исхода.

15

Только в фильмах правительства готовы к ЧС, в в реальности живут одним днём, ничего не готово в случае чего.

1

Нет, они сделают лестницу из простыней и будут спускаться как граф Монте-Кристо... или это д Артаньян так спускался... (не могу найти апостроф). В любом случае с пятого этажа хрущевки - это не так высоко, как в замке Иф. Тренируйся, бабка.

0
Теплый фонарь

Комментарий удален по просьбе пользователя

6

Иди нахуй гном

0

100% просто разработчики всунули требования всех привилегий "чтобы точно всё работало". Но передача по http а не по https - это правда ад, вряд-ли сами данные как-то дополнительно шифруются

16

так вроде все прилоги по умолчанию так требуют, даже казалось бы которые к этим данным не имеют отношения

0

Я тебе могу назвать список требований, которое приложение такого типа должно требовать. Мало того они всё это на старте просят, а не при потребности, что дополнительное ублюдство с точки зрения разработки

0

эту хуйню в пост добавь

Промежуточные итоги изучения приложения для слежки за жителями Москвы:

— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.

— Приложение передаёт собранную информацию на с...
Промежуточные итоги изучения приложения для слежки за жителями Москвы:

— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.

— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.

— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.

— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».

— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.

— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.

Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
13

Ты, пожалуйста, заметку прочитай сначала плак плак((( ред.

4

причем тут это? в тг все детально расписано по каждому пункту 

0

А вот и предустановленная прога подъехала. Скоро. Официально. На всех новых смартфонах. Без которого смартфон заблокируется и вызовет ментов тебе в хату, за попытку свержения власти.

12

Новый тренд продаж апреля 2020

10

Комментарий удален по просьбе пользователя

9

Блокировка "серых" телефонов без предустановленного ПО выглядит немного нерабочим процессом хотя бы потому что в России телефоном пользуются не только граждане РФ.

1

Комментарий удален по просьбе пользователя

0

Ага, смешно вам.... посмеётесь когда это дерьмо в госуслуги встроят.

7

Так и что такого? Просто приложение не получит всех прав и будет сосать бибу

3

Тогда ты не получишь QR-код. И кто сосёт бибу теперь?)

2

Госуслуги это же сайт

0

Это ещё и говноприложение

2
Теплый фонарь

Комментарий удален по просьбе пользователя

6

У меня доступно

0
Властный цветок

Кажется через пару дней простые кнопочные трубки в Москве будут дефицитом.
А смартфоны засунуты в самый дальний и темный угол в квартире.

Это я к тому, что нельзя поставить приложение на простой аппарат, а обязать гражданина купить смартфон пока вроде как проблематично. ред.

5
Совместный каякер

Хуявеями снабдят за бюджет. И смартфон у тебя есть, и братушек-китайцев, которые бэкдоры пихают в свое железо, поддержишь. ред.

2
Властный цветок

Ты советы осторожнее давай в следующий раз -
Власти выдадут телефоны тем, у кого их нет, а после окончания карантина устройства нужно будет вернуть.

0

Точно.

0
Элементарный кран

Кроме хранения данных и отсутствия шифрования забавно здесь то, что всё это будет неминуемо падать из-за тысяч обращений в секунду. Наверняка они на это будут хлопать глазами и мычать об атаке агентов Наты.

5

Тут ещё оказывается, что данное детище готовили аж с февраля...

@unkn0wnerror также доступна просто по telemetry. ...
зачем watch - непонятно, потому что туда не распространяется их летсэнкриптовский серт )
а судя по нему, всё это дерьмище начали готовить ещё в феврале https://t.co/FCVOxrwsez
2
Божественный цвет

У китайцев же точно такое приложение, на время эпидемии было. И сейчас есть. Ясен хуй они заранее готовились. За неделю такое приложение не реально сделать.

–4

Реально

18

Такое дерьмо за дня два-три реальнее некуда сделать.  ред.

4

Как знали!

1

Чёт дохуя хотят

2

Всем нравится завтра по приказу соловьева побегут ставить

0

И поставить его в bluestacks.

2

Если аутентификация и отслеживание планировалось через тлф, то в чем проблема человеку оставить тлф дома, а самому пойти куда-нибудь?

1
Универсальный паркур

Так тебя тормознёт мент и спросит код. Не сможешь дать, значит протокол.

1

Про Fake GPS забыли? по мониторингу ты дома сидишь, по факту за 5 км.

1

Я ещё посмеюсь если они это введут по всей России и тогда удачи им понять почему я то отслеживаюсь, то нет, то в Приютово, то в Ишимбае.

0

Снова хакеры проказничают, как и в случае с вайфаем в Сапсане? Считаю, нужно ввести штрафы за просмотр кода государственных приложений, ведь разглашение такой информации только поможет иностранным спецслужбам. В коде они ковыряются, понимаешь ли

1

Даже если положить огроменнейший болт на http (потому что это реально лол, в 2020 году передавать важные данные по незащищенному протоколу) и вспомнить, что совсем недавно принимали законы о хранении данных россиян на российских серверах... а пишут, что данные в этом приложении уходят в ЕС... то я даже не знаю что думать.

Или я что-то не понимаю?

1
Избирательный Женя

Так закон принимали для того, чтобы кошмарить западные IT-компании, а не для каких-то там сраных данных холопов. С учётом количества сливов данных из госучреждений и банков только за последние год-полтора там уже нечего защищать давно. Не говоря уже о том, что никакой качественной рабочей силы в сфере IT в стране давно не осталось, и при желании кулхацкеры из США, ЕС или Китая достанут себе всё, что им будет нужно.

0

Блять, мои глаза. Найдите этих джунов, которые взялись за это, и вломите им пизды

1
Способный файл

Это росдубинки во вторую смену фигачат в качестве доп образования.

0
Ложный ГОСТ

Не бывать этому говну на моих девайсах.

0

А "всё.онлайн" живёт на амазоне, привет. ред.

0

Комментарий удален по просьбе пользователя

0
Элементарный кран

Ага, Фейсбуком и Ютубом тоже же не одновременно пользуются!

0

Уже удалили приложение))

0

почему Гоша Куценко тестирует их приложение?

0
Многие микроскоп

Приложение от Гугл запрашивает все возможные разрешения 

0
Ложный ГОСТ

Приложения уже там нет

0

Не знаю как у тебя нет, у меня есть
https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround ред.

0

Ждем нашу персоналочку в торе 😉😉😉😉😉

0

Комментарий удален по просьбе пользователя ред.

0
Заработный динозавр

Какой же уебищный дизайн. Не могли нормально сделать чтоли? Пиздец

0

Это какой век?

0

мдааа уж

0
Читать все 142 комментария
Обсуждаемое
Новости
ГИБДД перестала штрафовать водителей за превышение средней скорости
Её вычисляли с помощью двух камер, установленных на расстоянии друг от друга.
Новости
ЦИК признал выборы состоявшимися. «Единая Россия» снова получила конституционное большинство
Элла Памфилова заявила, что комиссия не получила ни одной жалобы, требующей коллегиального рассмотрения.
Наука
На юге США нашли следы человека возрастом 23 тысячи лет — это противоречит теориям заселения Америки
Считалось, что люди пришли в эти места как минимум на семь тысяч лет позже.
Популярное за три дня
Интернет
Толстый кот Бендер из Австралии требовательно попросил второй завтрак и стал героем мемов русскоязычного тиктока
70-летняя хозяйка кота даже научилась отвечать «spasiba» поклонникам, заполонившим профиль комментариями на русском.
Новости
Актрису из Уссурийска, пародировавшую представителя МВД в шоу Виталия Наливкина, арестовали на 10 суток
Перед этим её оштрафовали на тысячу рублей за ношение полицейской формы.
Новости
В Красноярске активистку обвинили в пропаганде экстремизма. Она использовала красный восклицательный знак в инстаграме
По мнению следствия, знак связан со штабами Навального*, которые признаны экстремистской организацией.
null