Eksperci firmy Check Point Research przeprowadzili wstępną analizę bezpieczeństwa popularnej aplikacji Voila, która zamienia zdjęcia osób w kreskówkowego awatara. Chociaż w samym kodzie aplikacji eksperci nie dostrzegli dotychczas sygnałów ostrzegawczych, to podkreślają, że istnieje ryzyko związane z wysyłaniem zdjęć na serwery firmy w celu jego przetworzenia. W przyjętym przez dewelopera modelu zdjęcia twarzy użytkowników wraz z danymi identyfikującymi mogą trafić w przypadku cyberataku w niepowołane ręce!
Firma Check Point Research (CPR) przeprowadziła w ostatnich dniach wstępne badanie zabezpieczeń popularnej aplikacji Viola, która zmienia nasze selfie w awatara z kreskówek. Stworzona przez brytyjską firmę LPP aplikacja, wykorzystuje – zdaniem analityków – jedynie niezbędne minimum uprawnień do jej działania. Aplikacja weryfikuje, czy obrazy zawierają twarze i dopiero po tej weryfikacji wysyła je na serwer w celu obróbki. Eksperci CPR, zwracają uwagę, że cała komunikacja z serwerem odbywa się za pomocą protokołu HTTPS, więc ruch jest szyfrowany od razu po zainstalowaniu, a sama aplikacja zwykle korzysta z dobrze znanych bibliotek open source.
Do tego momentu specjaliści Check Pointa nie mają wątpliwości co do zastosowania odpowiednich zasad bezpieczeństwa. Te pojawiają się dopiero, gdy zdjęcie jest wysyłane na serwer z niepowtarzalnym identyfikatorem instalacji (vdid) wygenerowany przez Google Play, potencjalnie łączącym twarze z konkretną instalacją. W przypadku cyberataku na serwery LPP, dane użytkowników wraz z ich zdjęciami mogą trafić w ręce hakerów.
– Większość użytkowników prawdopodobnie zakłada, że przetwarzanie aplikacji Voila odbywa się lokalnie na ich telefonie. Nieoczywistym faktem jest to, że firma wysyła zdjęcia twarzy na swoje serwery w celu ich obróbki. Gdy zdjęcie twarzy jest wysyłane na serwer firmy, aplikacja dołącza unikalne identyfikatory instalacji, które zostały wygenerowane przez Google Play. Tak więc każde zdjęcie jest pakowane z danymi identyfikacyjnymi użytkownika. Chociaż fakt ten jest wymieniony w polityce prywatności firmy, otwiera się możliwość niewłaściwego wykorzystania danych – przez samą firmę lub przez stronę trzecią – mówi Yaniv Balmas, szef działu badań cybernetycznych w Check Point Software.
Balmas dodaje, że jeśli firma zostanie zhakowana, cyberprzestępcy będą mogli zebrać dużą bazę danych wszystkich twarzy użytkowników aplikacji. – Nie jesteśmy w stanie stwierdzić, czy w działania firmy mogą być nieuczciwe lub złośliwe, jednak uważam, że nowi użytkownicy powinni mieć świadomość nieodłącznego ryzyka związanego z wysyłaniem treści na serwery w celu ich dalszego przetworzenia – przyznaje ekspert Check Point Software.
