Вуаля мультяшная аватарка? Проверьте, куда попадают ваши фотографии!
Опубликовано: 28.10.2023
Вуаля мультяшная аватарка? Проверьте, куда попадают ваши фотографии!
Вуаля! Наша мультяшная аватарка готова! Какой ценой? Эксперты Check Point Resear провели предварительный анализ безопасности популярного приложения Voila, превращающего фотографии людей в мультяшные аватары. Хотя эксперты пока не заметили каких-либо предупреждающих сигналов в самом коде приложения, они подчеркивают риск, связанный с отправкой фотографий на серверы компании для обработки. В модели, принятой разработчиком, фотографии лиц пользователей вместе с идентифицирующими данными могут попасть в чужие руки в случае кибератаки!
Компания Check Point Resear (CPR) недавно провела предварительное исследование безопасности набирающего популярность приложения Viola, которое превращает наших селфи в мультяшные аватары. Созданное британской компанией LPP приложение использует, по мнению аналитиков, только минимально необходимые разрешения для своей работы. Приложение проверяет, есть ли на изображениях лица, и только после этой проверки отправляет их на обработку на сервер. Эксперты Check Point отмечают, что вся связь с сервером происходит по протоколу HTTPS, поэтому трафик шифруется сразу после установки, а само приложение обычно использует известные библиотеки с открытым исходным кодом.
До этого момента у специалистов Check Point не возникает сомнений в применении соответствующих правил безопасности. Они появляются только тогда, когда фотография отправляется на сервер с уникальным идентификатором установки (vdid), сгенерированным Google Play, что потенциально связывает лица с конкретной установкой. В случае кибератаки на серверы LPP данные пользователей и их фотографии могут оказаться в руках хакеров.
- Большинство пользователей, вероятно, предполагают, что обработка приложения Voila выполняется локально на их телефоне. Что неочевидно, так это то, что компания отправляет фотографии лиц на свои серверы для обработки. Когда фотография лица загружается на сервер компании, приложение включает уникальные идентификаторы установки, сгенерированные Google Play. Таким образом, каждая фотография упакована идентификационной информацией пользователя. Хотя этот факт упоминается в политике конфиденциальности компании, он открывает возможность неправомерного использования данных — как самой компанией, так и третьей стороной, — говорит Янив Балмас, руководитель отдела киберисследований Check Point Software..
Балмас добавляет, что в случае взлома компании злоумышленники потенциально могут собрать большую базу данных с лицами всех пользователей приложения. -Мы не можем определить, могут ли действия компании быть мошенническими или злонамеренными, но я считаю, что новые пользователи должны осознавать риски, присущие отправке контента на серверы для дальнейшей обработки. – признает Чек. Эксперт по программному обеспечению Point.