Pull to refresh

Программу Meitu обвиняют в сборе персональной информации

Reading time 4 min
Views 21K
В последние дни в Сети быстро распространяется информация о китайском мобильном приложении Meitu — одной из многочисленных программ класса «бьютифайер» (улучшатель лица) для селфи. Особенность Meitu в том, что среди фильтров есть анимешный, когда программа увеличивает глаза, отбеливает кожу, подкрашивает губы, ресницы и т.д. Программа очень понравилась многим пользователям, которые с радостью испытывают на себе анимешный фильтр. На волне популярности Meitu специалисты по безопасности тоже обратили внимание на это приложение, поскольку оно собирает необычно много информации о пользователях. Если его установит значительная часть населения, то такая большая база данных о пользователях уже может иметь практическую ценность для того, кто её соберёт.

Итак, какую информацию собирает программа.

Идентификатор IMEI отправляется на китайские серверы 110.173.196.36, 124.243.219.159 и 42.62.120.41 в версии для Android. В версии для iOS с последними обновлениями у сторонних приложений нет возможности получить IMEI, IMSI и MAC-адрес устройства, хотя в коде iOS-приложения есть соответствующий фрагмент кода, запрещённый для включения программ в App Store.





Версия для iOS содержит минимум три проверки смартфона на предмет джейлбрейка.



Функция для сбора информации о провайдере сотовой связи выглядит так.



Кроме того, Meitu составляет уникальный профиль устройства, в том числе с учётом MAC-адреса смартфона.

В приложении есть код, позволяющий динамическую загрузку частных фреймворков во время работы программы. Впрочем, пока нет доказательств, что этот код используется. Судя по всему, этот код был скомпилирован как часть iOS Facebook SDK.



Анализ версии Meitu для iOS показывает, что часть собранной информации приложение отправляет на серверы партнёров, в основном аналитических компаний. Например, название оператора сотовой связи отправляется на сервер аналитической компании Umeng/Youmi (alogs.umeng.com). На аналитический сервер Meitu отправляется номер версии iOS, название модели смартфона, тип сети (например, WiFi), язык устройства, информация о локализации устройства, мобильный код страны и случайным образом сгенерированный уникальный идентификатор.

Возможно, у китайских создателей этой смешной программы не было какой-то задней мысли о сборе большого массива приватной информации о пользователях. По крайней мере, сейчас нет доказательств, что программа на самом деле является вредоносной. Например, собирать IMSI она может быть обязана по китайскому закону. Но всё равно пример Meitu показывает, какую базу может собрать потенциальный злоумышленник. Ведь эту программу устанавливают вполне добропорядочные граждане — ваши коллеги, ваше начальство, которое платит вам зарплату, ваши друзья и родственники. Информация с их телефонов собирается и отправляется на удалённый сервер.

После профилирования телефона Meitu продолжает собирать приватные данные. Информация о географическом местоположении пользователя вытягивается не только через стандартную функцию определения координат GPS, но и из данных EXIF фотографий, которые хранятся на смартфоне.

Ещё при установке программа запрашивает обширный список разрешений, в том числе доступ к устройству и истории, точное местоположение, статус телефона, USB, фотографиям и хранилищу (на запись и чтение), камере, соединению WiFi, идентификатору устройства в информации о звонках, полный доступ к сети, запуску при загрузке, предотвращение ухода в спящий режим и др. Полный список разрешений см. на скриншотах ниже.





  • App Key
  • App Version
  • OS Type
  • IMEI
  • MAC Address
  • OS Version
  • Device Model
  • Resolution
  • Carrier
  • Network Type
  • Language
  • Country
  • City
  • Longitude
  • SIM ICCID
  • Local IP Address
  • Root Status или Jail brake Status (в iOS)

В принципе, программа собирает на телефоне буквально всю информацию, какую только может собрать. Наверное, это можно расценивать как плату за её бесплатный статус, так что многие пользователи соглашаются, а другие не обращают внимания. В конце концов, это стандартная бизнес-модель для современного интернета: компания предоставляет аудитории сервис бесплатно, а саму аудиторию использует в качестве продукта, который предлагается рекламодателю за деньги.

В программу встроено также большое количество сторонних аналитических модулей и рекламных трекеров, в том числе AppsFlyer, Crashlytics, Fabric, Umeng/Youmi.

«Если вы хотите стать мишенью таргетинга и дата-майнинга, обязательно установите Meitu. Я уверен, кто бы ни купил у них данные, он скажет вам спасибо», — комментирует специалист по безопасности Джонатан Здярски (Jonathan Zdziarski).

Представители компании Meitu не комментируют факт сбора большого количества приватной информации, но подчёркивают, что Meitu является официальным партнёром Google Play и участвует в престижной программе Sand Hill от компании Google для приложений, имеющий вирусный потенциал. В рамках этой программы Google предоставляет разработчикам консультации и помощь, как улучшить работу программы на разных рынках по всему миру.

Некоторые специалисты говорят, что программа Meitu по количеству собираемой информации вообще не особенно отличается от многих других популярных приложений для iOS и Android, например, от той же программы Pokemon Go.

По статистике на сегодняшний день, у приложений Meitu более 1,1 млрд установок, 456 млн активных пользователей по всему миру, 6 млрд сделанных селфи и более 490 млн видео, загруженных на серверы Meitu.
Tags:
Hubs:
+24
Comments 45
Comments Comments 45

Articles