Geekly articles weekly

Program Meitu dituduh mengumpulkan informasi pribadi

Dalam beberapa hari terakhir, web dengan cepat menyebarkan informasi tentang aplikasi ponsel China Meitu - salah satu dari banyak program "kecantikan" kelas (perbaikan wajah) untuk selfie. Fitur Meitu adalah bahwa di antara filter ada satu anime, ketika program memperbesar mata, memutihkan kulit, mewarnai bibir, bulu mata, dll. Program ini sangat menyukai banyak pengguna yang senang merasakan filter anime pada diri mereka sendiri . Setelah popularitas Meitu, para pakar keamanan juga mengalihkan perhatian mereka ke aplikasi ini karena mengumpulkan banyak sekali informasi tentang pengguna. Jika sebagian besar populasi menginstalnya, maka basis data pengguna yang sedemikian besar sudah dapat memiliki nilai praktis bagi orang yang mengumpulkannya.

Jadi, informasi apa yang dikumpulkan oleh program.

IMEI dikirim ke server Cina 110.173.196.36, 124.243.219.159 dan 42.62.120.41 dalam versi Android. Dalam versi iOS dengan pembaruan terbaru, aplikasi pihak ketiga tidak memiliki kesempatan untuk mendapatkan alamat IMEI, IMSI, dan MAC perangkat, meskipun kode aplikasi iOS memiliki fragmen kode yang sesuai yang dilarang untuk memasukkan program di App Store.





Versi iOS berisi setidaknya tiga pemeriksaan tentang cara jailbreak ponsel cerdas Anda.



Fungsi untuk mengumpulkan informasi tentang penyedia seluler terlihat seperti ini.



Selain itu, Meitu mengkompilasi profil perangkat yang unik , termasuk dengan mempertimbangkan alamat MAC smartphone.

Aplikasi memiliki kodememungkinkan pemuatan dinamis kerangka kerja swasta saat program sedang berjalan. Namun, sementara tidak ada bukti bahwa kode ini digunakan. Tampaknya, kode ini dikompilasi sebagai bagian dari Facebook Facebook iOS.



Analisis versi Meitu untuk iOS menunjukkan bahwa aplikasi mengirimkan bagian dari informasi yang dikumpulkan ke server mitra, terutama perusahaan analitis. Misalnya, nama operator seluler dikirim ke server perusahaan analitis Umeng / Youmi (alogs.umeng.com). Nomor versi iOS, nama model ponsel cerdas, jenis jaringan (mis. WiFi), bahasa perangkat, informasi pelokalan perangkat, kode negara seluler, dan pengidentifikasi unik yang dihasilkan secara acak dikirim ke server analitik Meitu.

Mungkin pencipta Cina dari program konyol ini tidak memiliki pemikiran mundur tentang mengumpulkan sejumlah besar informasi pribadi tentang pengguna. Setidaknya sekarang tidak ada bukti bahwa program tersebut sebenarnya berbahaya. Misalnya, mungkin diperlukan untuk mengumpulkan IMSI berdasarkan hukum Tiongkok . Namun demikian, contoh Meitu menunjukkan basis apa yang bisa dikumpulkan oleh penyerang potensial. Bagaimanapun, program ini diatur oleh warga yang cukup terhormat - kolega Anda, atasan Anda, yang membayar Anda gaji, teman dan kerabat Anda. Informasi dari ponsel mereka dikumpulkan dan dikirim ke server jauh.

Setelah membuat profil telepon, Meitu terus mengumpulkan data pribadi. Informasi tentang lokasi geografis pengguna diambil tidak hanya melalui fungsi penentuan koordinat GPS standar, tetapi juga dari data foto EXIF ​​yang disimpan pada smartphone.

Bahkan selama instalasi, program meminta daftar izin yang luas, termasuk akses ke perangkat dan riwayat, lokasi yang tepat, status telepon, USB, foto dan penyimpanan (untuk menulis dan membaca), kamera, koneksi WiFi, ID perangkat dalam informasi panggilan, akses penuh ke jaringan, mulai saat boot, mencegah hibernasi, dll. Untuk daftar izin lengkap, lihat tangkapan layar di bawah ini.





  • Kunci aplikasi
  • Versi aplikasi
  • Jenis OS
  • IMEI
  • Alamat MAC
  • Versi OS
  • Model perangkat
  • Resolusi
  • Pembawa
  • Jenis jaringan
  • Bahasa
  • Negara
  • Kota
  • Bujur
  • SIM ICCID
  • Alamat IP Lokal
  • Root Status Jail brake Status ( iOS)

Pada prinsipnya, program mengumpulkan di telepon secara harfiah semua informasi yang dapat dikumpulkannya. Mungkin ini dapat dianggap sebagai biaya untuk status gratisnya, sehingga banyak pengguna setuju, sementara yang lain tidak memperhatikan. Pada akhirnya, ini adalah model bisnis standar untuk Internet modern: perusahaan menyediakan layanan kepada audiens secara gratis, dan menggunakan audiens itu sendiri sebagai produk yang ditawarkan kepada pengiklan untuk mendapatkan uang.

Program ini juga memiliki sejumlah besar modul analitik pihak ketiga dan pelacak iklan, termasuk AppsFlyer, Crashlytics, Fabric, Umeng / Youmi.

“Jika Anda ingin menjadi target untuk penargetan dan penggalian data, pastikan untuk menginstal Meitu. Saya yakin bahwa siapa pun yang membeli data dari mereka, dia akan berterima kasih, " komentarSpesialis Keamanan Jonathan Zdziarski.

Perwakilan Meitu tidak mengomentari fakta bahwa sejumlah besar informasi pribadi dikumpulkan, tetapi menekankan bahwa Meitu adalah mitra resmi Google Play dan berpartisipasi dalam program Sand Hill bergengsi Google untuk aplikasi dengan potensi viral. Sebagai bagian dari program ini, Google memberikan saran dan bantuan kepada pengembang tentang cara meningkatkan kinerja program di berbagai pasar di seluruh dunia.

Beberapa ahli mengatakan bahwa program Meitu dalam hal jumlah informasi yang dikumpulkan tidak berbeda sama sekali dari banyak aplikasi populer lainnya untuk iOS dan Android, misalnya, dari program Pokemon Go yang sama.

Menurut statistik, saat ini aplikasi Meitu memiliki lebih dari 1,1 miliar instalasi, 456 juta pengguna aktif di seluruh dunia, 6 miliar selfie diambil dan lebih dari 490 juta video diunggah ke server Meitu.

Source: https://habr.com/ru/post/id400923/

More articles:


All Articles