Правительство Москвы финансирует шпионскую программу

Московский департамент информационных технологий выпустил специальное приложение, в задачи которого входит отслеживание перемещений людей, находящихся на самокарантине или в условиях самоизоляции. Приложение просуществовало в сети недолго, после чего создатели изъяли его из публичного доступа. Эксперты, тем не менее, успели дать оценку выпущенной программе и обнаружили некоторые интересные особенности. Так, например, выяснилось, что определенная доля личных пользовательских данных без шифровки автоматически передавалась на сервер эстонской фирмы Identix.one.

Приложение, получившее название «Социальный мониторинг», можно было найти в Play Market в последнюю неделю марта, однако уже через несколько дней оно исчезло из магазина. По информации ресурса Rozetked, некоторые IT-специалисты успели проанализировать программу и обнаружили странную особенность – некоторая конфиденциальная пользовательская информация отправлялась за границу (а, в частности, в представительство одной эстонской компании) без какой-либо шифровки.

Разработчиком «Социального мониторинга» считается подведомственное московскому ДИТ предприятие под названием ГКУ «Информационный город». Контактные данные, указанные в приложении для получения обратной связи, предположительно принадлежат компании Wokka Lokka из Кемерово. Фирма числится подрядчиком у ДИТ, специалистам компании также принадлежит разработка приложения по слежению за детьми. Эксперты попытались связаться с собственником компании Игорем Афанасьевым для получения комментариев по поводу их нового продукта, однако он перенаправил интересующихся за разъяснениями в правительство Москвы.

Стоит отметить, что большинство из тех, кто успел попасть в приложение, так и не смогли в нем зарегистрироваться. Среди основных жалоб потенциальных клиентов было неоправданно большое число запросов от приложения на всевозможные разрешения. Пользователи не понимали, для чего программе с крайне ограниченным функционалом требуются все эти разрешения.

Через «Социальный мониторинг» можно было зайти на правительственный портал для отслеживания текущей информации о коронавирусе и передать сигнал SOS при необходимости оказания экстренной помощи. Для того чтобы пользователя можно было отслеживать по системам видеонаблюдения, при регистрации требовалась его фотография, кроме этого, приложение позволяло генерировать QR-коды, введенные администрацией столицы для отслеживания соблюдения режима самоизоляции жителями Москвы и Московской области.

И при таком весьма ограниченном функционале среди запросов на доступ числятся практически все возможные разрешения – от доступа к работе с видео до показателей датчика пульса и совершенных звонков. Кроме того, были обнаружены и явные ошибки при работе приложения. Так, например, часть данных передавалась по открытым каналам на зарубежные серверы, что для подобных программ вообще недопустимо, а ключ доступа к хранилищу с сервисом распознавания лиц содержался в открытом виде. Подобная недоработка позволяет злоумышленникам подменивать информацию и использовать личные данные пользователей.

IT-эксперты охарактеризовали ресурс «Социальный мониторинг» не только крайне непрофессиональным, но и потенциально опасным для пользователей.

При полном отсутствии защиты личных данных приложение демонстрирует недопустимый интерес к конфиденциальной информации через запрос практически всех существующих разрешений на доступ.

Правительство Москвы всячески отрицает использование зарубежных серверов для хранения полученной информации и утверждает, что все программное обеспечение установлено исключительно на территории России. Однако на практике подобные заявления ничем не подтверждаются. Стоимость разработки приложения не известна, однако есть информация о том, что правительство Москвы заключило с компанией «Гаскар Интеграция» (еще одно детище владельца Wokka Lokka Игоря Афанасьева) несколько контрактов на сотни миллионов рублей.