Populární mobilní aplikace bez skurpulí posílá fotky na server v dáli…

Voilà AI Artist je aplikace, pomocí které si uživatelé mohou nechat vytvořit kreslené varianty svých profilových fotek. Ačkoli tým Check Point Research v tuto chvíli nezaznamenal žádné zásadní hrozby, potenciální riziko je spojené s odesíláním fotek na vzdálené servery, aplikace zároveň obsahuje jedinečné identifikační číslo vygenerované službou Google Play.

V případě hacku nebo narušení bezpečnosti by tak hackeři mohli získat přístup k obrovské databázi fotografií obličejů a identifikačních údajů.

Výzkumný tým k této aplikaci poznamenal:

  • Aplikace byla vytvořena legitimní společností registrovanou ve Spojeném království.
  • Co se oprávnění týče, aplikace využívá pouze nezbytná práva potřebná k provozu.
  • Aplikace ověřuje, zda obrázky obsahují nějaký obličej, a teprve po tom je odesílá na server ke zpracování.
  • Veškerá komunikace se serverem probíhá pomocí protokolu HTTPS, takže provoz je šifrován.
  • Aplikace obsahuje jedinečné identifikační číslo vygenerované službou Google Play, takže by v případě hacku mohli útočníci spojit obličeje s konkrétními instalacemi.

„Většina uživatelů předpokládá, že aplikace Voilà AI Artist zpracovává fotky přímo v telefonu, ve skutečnosti obrázky obličejů odesílá ke zpracování na servery vývojářů. Každou fotografii je navíc možné spojit pomocí identifikačních údajů s konkrétní instalací, což je sice uvedeno v zásadách ochrany osobních údajů, ale otevírá to možnost zneužití, ať už samotnou společností, která za aplikací stojí, nebo třetí stranou. Pokud by například došlo k hackerskému útoku na vývojáře, mohli by útočníci získat obrovskou databázi tváří. Považujeme za důležité, aby si uživatelé uvědomovali rizika spojená s odesíláním obsahu na vzdálené servery. V případě úniku dat nebo hackerského útoku by se mohli fotografie jejich tváře nebo tváře jejich přátel dostat do nepovolaných rukou,“ komentuje Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.

Zveřejněno: 02. 07. 2021 | Počet zobrazení: 168x