Voilà! Nasz kreskówkowy awatar jest gotowy! Jakim kosztem? Eksperci Check Point Research przeprowadzili wstępną analizę bezpieczeństwa popularnej aplikacji Voila, która zamienia zdjęcia osób w kreskówkowego awatara. Chociaż w samym kodzie aplikacji eksperci jak na razie nie dostrzegli sygnałów ostrzegawczych, to podkreślają ryzyko związane z wysyłaniem zdjęć na serwery firmy w celu jego przetworzenia. W przyjętym przez dewelopera modelu zdjęcia twarzy użytkowników wraz z danymi identyfikującymi mogą trafić w przypadku cyberataku w niepowołane ręce!

Firma Check Point Research (CPR) przeprowadziła w ostatnich dniach wstępne badanie zabezpieczeń coraz popularniejszej aplikacji Viola, która zmienia nasze selfie w awatara z kreskówek. Stworzona przez brytyjską firmę LPP, aplikacja wykorzystuje – zdaniem analityków – jedynie niezbędne minimum uprawnień do jej działania. Aplikacja weryfikuje, czy obrazy zawierają twarze i dopiero po tej weryfikacji aplikacja wysyła je na serwer w celu obróbki. Eksperci Check Pointa, zwracają uwagę, że cała komunikacja z serwerem odbywa się za pomocą protokołu HTTPS, więc ruch jest szyfrowany od razu po zainstalowaniu, a sama aplikacja zwykle korzysta z dobrze znanych bibliotek open source.

Do tego momentu specjaliści Check Pointa nie mają wątpliwości co do zastosowania odpowiednich zasad bezpieczeństwa. Te pojawiają się dopiero, gdy zdjęcie jest wysyłane na serwer z niepowtarzalnym identyfikatorem instalacji (vdid) wygenerowany przez Google Play, potencjalnie łączącym twarze z konkretną instalacją. W przypadku cyberataku na serwery LPP, dane użytkowników wraz z ich zdjęciami mogą trafić w ręce hakerów. 

- Większość użytkowników prawdopodobnie zakłada, że ​​przetwarzanie aplikacji Voila odbywa się lokalnie na ich telefonie. Nieoczywistym faktem jest to, że firma wysyła zdjęcia twarzy na swoje serwery w celu ich obróbki. Gdy zdjęcie twarzy jest wysyłane na serwer firmy, aplikacja dołącza unikalne identyfikatory instalacji, które zostały wygenerowane przez Google Play. Tak więc każde zdjęcie jest pakowane z danymi identyfikacyjnymi użytkownika. Chociaż fakt ten jest wymieniony w polityce prywatności firmy, otwiera się możliwość niewłaściwego wykorzystania danych – przez samą firmę lub przez stronę trzecią – mówi Yaniv Balmas, szef działu badań cybernetycznych w Check Point Software.

Balmas dodaje, że jeśli firma zostanie zhakowana, osoby atakujące potencjalnie będą mogły zebrać dużą bazę danych wszystkich twarzy użytkowników aplikacji. - Nie jesteśmy w stanie stwierdzić, czy w działania firmy mogą być nieuczciwe lub złośliwe, jednak uważam, że nowi użytkownicy powinni mieć świadomość nieodłącznego ryzyka związanego z wysyłaniem treści na serwery w celu ich dalszego przetworzenia. – przyznaje ekspert Check Point Software.


Zobacz również