Антон Курилов  7 451 0

Приложение для мониторинга москвичей на карантине передаёт незашифрованные данные в ЕС

Приложение «Социальный мониторинг» от мэрии Москвы ещё и запрашивает почти все разрешения у Android.

Приложение для мониторинга москвичей на карантине передаёт незашифрованные данные в ЕС

В Google Play появилось приложение «Социальный мониторинг» от разработчика ГКУ «Информационный город» (подчиняется Департаменту информационных технологий Москвы). Предполагается, что оно будет использоваться для контроля соблюдения карантина из-за COVID-19.

Обновление (10:07 МСК): приложение удалено из Google Play.

Как указано в описании приложения, оно предназначено для «социального мониторинга граждан и вызова помощи в экстренной ситуации». При установке оно запрашивает разрешение у Android на доступ к местоположению, фото и видеосъёмке, данным об устройстве, Bluetooth и Wi-Fi, звонкам, неограниченному расходу аккумулятора и многим другим данным.

Автор Telegram-канала «IT и СОРМ» Владислав Здольников c разработчиком Дмитрием Тарасенко проанализировали APK-файл приложения и выяснили, что оно:

  • Передаёт персональные данные зарегистрированных пользователей на сервер по протоколу HTTP без шифрования
  • Получает данные о MAC-адресе устройства даже без выданных разрешений при помощи хака
  • Передаёт данные для распознавания лиц на сервер эстонской компании identix.one без шифрования
  • В коде в открытом виде хранится токен API сервиса identix.one, позволяющий запрашивать данные у сервиса от лица приложения «Социальный мониторинг»
  • В генерируемых QR-кодах, при помощи которых силовые структуры будут контролировать правомерность перемещения граждан по Москве, зашифрованы индивидуальные идентификаторы устройства (MAC и IMEI)

В интерфейсе самого приложения имеется только два раздела: кнопка SOS для вызова экстренных служб и ссылка на сайт мэрии с новостями о ситуации с коронавирусом. Программа работает нестабильно: редакторам TJ и BBC не удалось даже зарегистрироваться.

В описании приложения указана почта для связи, которая предположительно связана с кемеровской компанией Wokka Lokka. Она разрабатывает приложение для отслеживания местоположения детей, также является подрядчиком Департамента информационных технологий Москвы.

На момент написания новости, рейтинг приложения в Google Play достиг отметки 1,0 из 5 на основе 3686 отзывов.

29 марта в Москве и Подмосковье введён режим обязательной самоизоляции для всех жителей. Граждане могут покидать квартиру только при необходимости поездки на работу, посещения магазина, аптеки или больницы, а также ради совершения ряда других строго ограниченных действий.