Populární mobilní aplikace bez skurpulí posílá fotky na server v dáli…
Voilà AI Artist je aplikace, pomocí které si uživatelé mohou nechat vytvořit kreslené varianty svých profilových fotek. Ačkoli tým Check Point Research v tuto chvíli nezaznamenal žádné zásadní hrozby, potenciální riziko je spojené s odesíláním fotek na vzdálené servery, aplikace zároveň obsahuje jedinečné identifikační číslo vygenerované službou Google Play.
V případě hacku nebo narušení
bezpečnosti by tak hackeři mohli získat přístup k obrovské databázi fotografií
obličejů a identifikačních údajů.
Výzkumný tým k této aplikaci poznamenal:
- Aplikace
byla vytvořena legitimní společností registrovanou ve Spojeném království.
- Co
se oprávnění týče, aplikace využívá pouze nezbytná práva potřebná k
provozu.
- Aplikace
ověřuje, zda obrázky obsahují nějaký obličej, a teprve po tom je odesílá
na server ke zpracování.
- Veškerá
komunikace se serverem probíhá pomocí protokolu HTTPS, takže provoz je
šifrován.
- Aplikace
obsahuje jedinečné identifikační číslo vygenerované službou Google Play,
takže by v případě hacku mohli útočníci spojit obličeje s konkrétními
instalacemi.
„Většina
uživatelů předpokládá, že aplikace Voilà AI Artist zpracovává fotky přímo v
telefonu, ve skutečnosti obrázky obličejů odesílá ke zpracování na servery
vývojářů. Každou fotografii je navíc možné spojit pomocí identifikačních údajů
s konkrétní instalací, což je sice uvedeno v zásadách ochrany osobních údajů,
ale otevírá to možnost zneužití, ať už samotnou společností, která za aplikací
stojí, nebo třetí stranou. Pokud by například došlo k hackerskému útoku na
vývojáře, mohli by útočníci získat obrovskou databázi tváří. Považujeme za
důležité, aby si uživatelé uvědomovali rizika spojená s odesíláním obsahu na
vzdálené servery. V případě úniku dat nebo hackerského útoku by se mohli fotografie
jejich tváře nebo tváře jejich přátel dostat do nepovolaných rukou,“ komentuje Petr Kadrmas, Security Engineer Eastern Europe v
kyberbezpečnostní společnosti Check Point Software Technologies.
Zveřejněno: 02. 07. 2021