Aplikacja Voila - czy rzeczywiście jest bezpieczna?
Eksperci Check Point Research przeprowadzili wstępną analizę bezpieczeństwa popularnej aplikacji Voila, która zamienia zdjęcia osób w kreskówkowego awatara.
Chociaż w samym kodzie aplikacji eksperci jak na razie nie dostrzegli sygnałów ostrzegawczych, to podkreślają ryzyko związane z wysyłaniem zdjęć na serwery firmy w celu jego przetworzenia. W przyjętym przez dewelopera modelu zdjęcia twarzy użytkowników wraz z danymi identyfikującymi mogą trafić w przypadku cyberataku w niepowołane ręce!
Firma Check Point Research (CPR) przeprowadziła w ostatnich dniach wstępne badanie zabezpieczeń coraz popularniejszej aplikacji Viola, która zmienia nasze selfie w awatara z kreskówek. Stworzona przez brytyjską firmę LPP, aplikacja wykorzystuje - zdaniem analityków - jedynie niezbędne minimum uprawnień do jej działania. Aplikacja weryfikuje, czy obrazy zawierają twarze i dopiero po tej weryfikacji aplikacja wysyła je na serwer w celu obróbki. Eksperci Check Pointa, zwracają uwagę, że cała komunikacja z serwerem odbywa się za pomocą protokołu HTTPS, więc ruch jest szyfrowany od razu po zainstalowaniu, a sama aplikacja zwykle korzysta z dobrze znanych bibliotek open source.
Do tego momentu specjaliści Check Pointa nie mają wątpliwości co do zastosowania odpowiednich zasad bezpieczeństwa. Te pojawiają się dopiero, gdy zdjęcie jest wysyłane na serwer z niepowtarzalnym identyfikatorem instalacji (vdid) wygenerowany przez Google Play, potencjalnie łączącym twarze z konkretną instalacją. W przypadku cyberataku na serwery LPP, dane użytkowników wraz z ich zdjęciami mogą trafić w ręce hakerów.
- Większość użytkowników prawdopodobnie zakłada, że przetwarzanie aplikacji Voila odbywa się lokalnie na ich telefonie. Nieoczywistym faktem jest to, że firma wysyła zdjęcia twarzy na swoje serwery w celu ich obróbki. Gdy zdjęcie twarzy jest wysyłane na serwer firmy, aplikacja dołącza unikalne identyfikatory instalacji, które zostały wygenerowane przez Google Play. Tak więc każde zdjęcie jest pakowane z danymi identyfikacyjnymi użytkownika. Chociaż fakt ten jest wymieniony w polityce prywatności firmy, otwiera się możliwość niewłaściwego wykorzystania danych - przez samą firmę lub przez stronę trzecią - mówi Yaniv Balmas, szef działu badań cybernetycznych w Check Point Software.
Balmas dodaje, że jeśli firma zostanie zhakowana, osoby atakujące potencjalnie będą mogły zebrać dużą bazę danych wszystkich twarzy użytkowników aplikacji. - Nie jesteśmy w stanie stwierdzić, czy w działania firmy mogą być nieuczciwe lub złośliwe, jednak uważam, że nowi użytkownicy powinni mieć świadomość nieodłącznego ryzyka związanego z wysyłaniem treści na serwery w celu ich dalszego przetworzenia. - przyznaje ekspert Check Point Software.
