Приложение для тотальной слежки за москвичами исчезло из магазина приложений

- КиТ :: Будь в СЕТИ!

Государственное казенное учреждение «Информационный город» (ГКУ «Инфогород», подведомственная организация Департамента ИТ при мэрии Москвы) удалило мобильное приложение «Социальный мониторинг» для устройств под управлением ОС Android из магазина приложений Google Play. По данным приложения, впервые оно было выложено 25 марта 2020 г., последнее обновление до версии 0.0.6 датировано 30 марта. Однако утром 1 апреля приложение исчезло из Google Play.

Приложение было создано «Гаскар Интеграция» по заказу ГКУ «Информационный город». Как полагает «Русская служба Би-би-си», в рамках заключенного в январе 2020 г. договора с ДИТ Москвы его создателям было уплачено 180 млн руб.

Полученные данные передавались приложением в незашифрованном виде на серверы мэрии Москвы, сообщил Teleram-канал «IT и СОРМ». Для распознавания лиц в приложении задействован эстонский сервис identix.one с серверами в Германии.

В процессе регистрации, для которого требовалось фотография пользователя и номер телефона для получения SMS с кодом активации, приложение требовало доступ к множеству функций мобильного устройства, включая геолокацию, камеру, память, историю звонков и показатели датчиков. В дополнение, приложение также запрашивает доступ к просмотру к любым настройкам и любым данным пользователя, отмечает канал «IT и СОРМ».

Возможности самого приложения крайне скудны. Его функциональность ограничена единственной кнопкой SOS для вызова экстренных служб. В дополнение, также имеется раздел «Последние новости», который перенаправляет пользователя на стандартную страницу портала мэрии Москвы, посвященную коронавирусной инфекции.

Что говорит ДИТ

Глава ДИТ Москвы Эдуард Лысенко в телефонном интервью радиостанции «Эхо Москвы» утром 1 апреля сообщил, что приложение «Социальный мониторинг» предназначено «только для больных коронавирусом, которые выбрали способ лечения на дому».

До начала пользования приложением его пользователи будут подписывать добровольное согласие. Больным, не имеющим смартфонов, ДИТ Москвы будет выдавать устройство с уже предустановленным приложением. Возврат смартфона в ДИТ подразумевается после выздоровления пациента.

По словам Эдуарда Лысенко, полная версия приложения для контроля за пациентами с коронавирусом, которые лечатся на дому в Москве, будет доступна уже в четверг. Тестовая система уже готова, ее сейчас дорабатывают. Запуск и последовавшее удаление приложения глава ДИТ Москвы назвал «пробным тестированием» для сбора обратной связи и улучшения приложения.

Эдуард Лысенко опроверг информацию о передаче данных на зарубежные серверы. В своем интервью он заявил, что «за границу ничего не передается». По его словам, в работе приложения серверы identix.one не используются, а задействованы только алгоритмы сервиса, и все данные остаются на серверах ДИТ.

Не прошло и недели

Утром 1 апреля, ориентировочно в 07:57 по московскому времени, при попытке редакции CNews установить «Социальный мониторинг», приложение перестало быть доступным для скачивания и буквально на глазах исчезло из магазина приложений.

«Социальный мониторинг» исчез из Google Play

При попытке открыть приложение в Google Play по ссылке с настольного ПК теперь выводится сообщение «Страница не найдена». Попытка загрузки с ранее открытой страницы приложения в Google Play заканчивается ничем, при этом на экране появляется сообщение «Ошибка при получении данных с сервера DF-DFERH-01».

Ошибка при попытке скачать «Социальный мониторинг»

На момент удаления «Социального мониторинга» число скачиваний приложения было отмечено как «>1 000», при этом число отзывов перевалило за 4 тыс., а рейтинг приложения составлял ровно 1.0 (одна «звезда» из пяти возможных). Для сравнения: австралийское государственное приложение Coronavirus Australia, размещенное в Google Play 29 марта, имеет 580 оценок и рейтинг на уровне 3 «звезд».

Как устроен «Социальный мониторинг»

Список потенциальных разрешений доступа, которые запрашивало при запуске приложение «Социальный мониторинг», включал все возможные варианты локации, права BT Admin (в том числе, управление и паринг), доступ к нательным сенсорам при их наличии, камеру, звонки и другие.

Запросы приложения «Социальный мониторинг»

После сбора данных приложение передавало собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования (HTTP вместо HTTPS). Для распознавания лиц в приложении задействован сервис identix.one в юрисдикции Эстонии, который, в свою очередь, передавал фотографии на серверы в Германии. Владельцами компании identix.one являются Кирилл Широков, проживающий в Таллине, Эстония, Владимир Алексеев из Хельсинки, Финляндия, и Антон Рудов из Санкт-Петербурга, Россия, сообщил канал «IT и СОРМ».

Разработчик приложения «Социальный мониторинг»

В данных приложения указан электронный адрес info@wokkalokka.ru для обратной связи, а в соглашении «Политика конфиденциальности» прямо указан разработчик приложения, компания Wokka Lokka. На сайте компании располагается российская компания из г. Кемерово, которая выпускает приложение мобильного трекинга Wokka Lokka для детских GPS смарт-часов Wokka Watch.

Фрагмент «Политики конфиденциальности» приложения

Изучение исходных кодов приложения, выложенных в базе GitHub, позволило выяснить, что в QR-кодах «Социального мониторинга» зашифрованы индивидуальные идентификаторы MAC и IMEI того устройства, зарегистрированного пользователем в «Социальном мониторинге».

Фрагмент исходного кода «Социального мониторинга»

В дополнение также удалось выяснить, что приложение поставляет свои статистические данные платформе Google Firebase, поскольку его работа основана на использовании аналитических инструментов Google Firebase Analytics, хотя технически имеется возможность создания Android-приложения без трансляции статистики и аналитики в Google.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg