Пользователи Рунета и IT-эксперты изучили приложение для «социального мониторинга» от Правительства Москвы, и выяснилось, что оно требует все возможные виды разрешений — от доступа к камере до привязки к банковским приложениям, при этом передача данных происходит по незащищённому соединению.
В Google Play появилось, и достаточно быстро исчезло приложение «Социальный мониторинг», однако пользователи и эксперты в области IT успели проверить его на уязвимости, а также провести достаточно детальное исследование программы.
Первым внимание на приложение обратил Telegram-канал «Нецифровая экономика». Разработчиком программы указана подведомственная московской мэрии организация ГКУ «Информационный город».
«Правда, как выяснилось (здесь и далее – по информации телеграм-канала @itsorm) разработчиком числится некая компания «Гаскар», она же wokkalokka, — пишет Telegram-канал «Методичка». — Но разработчик – не главная проблема. В существующей версии приложение требует все возможные виды разрешений для установленных программ: от доступа к камере и местоположению до (по некоторым данным) привязки к приложению «Сбербанка». При этом передача данных происходит на сервер мэрии Москвы, а изображений – на мощности эстонского сервиса по распознаванию лиц identix.one, расположенные в Германии. Важно отметить — передаваемые данные незашифрованы и содержат сведения об идентификаторах смартфона и модуля связи (MAC/IMEI)».
Кроме этого, приложение требует дать доступ на передачу геолокации, доступ к управлению Bluetooth и носимым устройствам, и «Методичка» подытоживает:
«Неизвестно какие цели преследует руководство столицы, но одно понятно уже сейчас – «приложение для похода за гречкой» вызовет негативную реакцию, которую уже не купировать мэрскими надбавками и льготами. Слежку москвичи не простят, более того – повышается риск саботажных разрушений уже существующей информационно-трекинговой инфраструктуры с неминуемым падением эффективности действительно необходимых городу оперативных служб, а не только анонсированных патрулей Росгвардии со сканерами цифровых намордников. Вероятно, Мэру нужны великие потрясения. Нам нужна великая столица. Великая и спокойная столица».
.
Исполнительный директор ОЗИ Михаил Климарёв заметил, что пользователи устроили в Google Play обвал рейтинга данного приложения, ставя ему одну звёздочку, а также сопровождая это негативными комментариями. Он также посоветовал пользователям пожаловаться на нарушение программой приватности, чтоб Google удалил его из магазина приложений. Возможно, это стало причиной того, что сейчас программа недоступна, но это пока только наше предположение.
Достаточно детально приложение разобрал создатель TgVPN и владелец Telegram-канала «IT и СОРМ» Владислав Здольников, который представил промежуточные итоги изучения этой программы:
— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.
— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.
— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».
— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.
— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.
.
«Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое», — считает он.
С ним согласен IT-специалист, разработчик Денис Евстигнеев, который дал РосКомСвободе свой комментарий: «Предположительно, приложение «Социальный мониторинг», разработанное компанией «Гаскар», подрядчикм «Инфогорода» будет использоваться правительственными структурами Москвы для выдачи разрешения на выход из дома (вынести мусор, выгул собаки, покупка еды и т.д.). Из выложенного кода программы совершенно однозначно понятно: у Вас от правительство больше не будет НИКАКИХ секретов».
.
Разработчиком приложения для слежки указаны wokkalokka — некие ребята, которые делали приложение для детских смарт часов с трекингом.
Ссылка на них же есть в privacy policy приложения.https://t.co/ornFU8btqk— Vladislav (@unkn0wnerror) March 31, 2020
.
«Если вы что-то разработали, написали, всё будет доступно правительственным органам и множеству третьих лиц, — продолжает он. — С учетом объявления, что данные с сайта Госуслуг сегодня снова благополучно оказались доступны в сети Интернет рядовым пользователям. Во-первых, программа при установке требует ряд разрешений, которые дают возможность в произвольное время включить и выключать камеру, вести запись и отправлять это всё (по совершенно открытому протоколу) на сайт http://watch.telemetry.mos.ru (это можно увидеть при помощи программы tcpdump). Программа получает доступ ко ВСЕМ сетевым интерефейсам, Wi-Fi, BlueTooth. Т.е., телефон, подключённый в доме может преспокойненько «слить» данные о вашей домашней сети, о переговорах в мессенджерах и т.д. Сервис для распознавания лиц находится вообще в Эстонии (identix.one)! То есть наши данные отправляются за рубеж. На сайте https://github.com/iTaysonLab/gorkiy выложен исходный код программы. В QR-коде для слежки за жителями Москвы зашифрованы MAC/IMEI девайса».
Денис Евстигнеев тоже советует жаловаться администрации Google Play на данную программу как нарушающую приватность и не соответствующую мало-мальским требованиям безопасности:
«К сожалению, бесполезно ставить «звёздочки» (одну звёздочку), как это предлагалось изначально на некоторых каналах. Чтобы эту программу удалили с Google Play, нужно жаловаться.
Если этой программой нас заставят пользоваться, нет никакой гарантии, что эти данные не окажутся у третьих лиц. Перехватить такой трафик не составит никакого труда. Самое неприятное, что отказаться от установки этой программы мы не можем: это же разрешение на выход из дома.
И всё же, на телефон такую программу ставить НЕЛЬЗЯ. Она будет Вашим личным шпионом-доносчиком. Её нельзя ставить на телефон от слова «СОВСЕМ».
.
Московский власти, между тем, уже успели отреагировать на ту волну негодования, которая поднялась в Сети.
Приложение «Социальный мониторинг», контролирующее соблюдение режима самоизоляции, предназначено не для широкого пользования, а для пациентов с коронавирусом, которые будут лечиться на дому. Об этом в эфире «Эха Москвы» в среду заявил глава департамента информационных технологий (ДИТ) Эдуард Лысенко. По его словам, поскольку приложение будет работать не на всех платформах, больных на время самоизоляции обеспечат смартфоном, который после придется сдать. Полная версия приложения будет доступна в четверг. Сейчас оно больше недоступна в Google Play, куда тестовую выложили для сбора оценок со стороны экспертного сообщества.
С конца марта текущего года в Москве действует режим обязательной самоизоляции. Жителям запрещено покидать квартиру, исключение делается только для похода в магазин, выноса мусора или прогулки с собакой. В ближайшее время жителям столицы потребуется получать QR-код на сайте мэрии для каждого выхода из квартиры. Отслеживать передвижения жителей в режиме самоизоляции с помощью системы распознавания лиц на базе технологии NtechLab. Недавно в Сети были опубликованы «регламенты работы» после введения в столице пропускного режима. В частности, в одном из слайдов говорится о приложении «Социальный мониторинг» для «больных с домашним размещением».
В свою очередь, мы предлагаем пользователям, особенно жителям столицы включиться общественное обсуждение данного приложения. Вы можете позвонить или написать в ДИТ, высказав все свои опасения:
Россия, Москва, 1-й Красногвардейский пр-д, д. 21, стр. 1Телефон:+7 (495) 957-01-31Факс: +7 (495) 957-75-42
Также хотим обратить внимание регулирующих и надзорных органов на возникшие у экспертного сообщества опасения, и проверить данную программу на соответствие федеральным законам о персональных данных.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.