Приложение-фоторедактор Voilà AI Artist является потенциально опасным для пользователей, сообщили «Газете.Ru» в компании по кибербезопасности Check Point Software Technologies.
Voilà AI Artist — достаточно популярное приложение, которое превращает фото человека в мультяшный аватар. На момент написания материала в онлайн-магазине Google Play фоторедактор был скачан более 10 млн раз.
Команда исследователей Check Point Research выяснила, что риски использования Voilà AI Artist связаны в первую очередь с тем, что приложение отправляет фото лиц людей для обработки на свои незащищенные серверы.
Таким образом, в случае кибератаки на компанию изображения пользователей, а также их идентификационные данные могут оказаться в руках злоумышленников. Также исследователи отмечают вероятность того, что компания-разработчик приложения может самостоятельно использовать полученные данные в своих целях.
«Большинство пользователей предполагает, что обработка фото в приложении Voilà AI Artist выполняется локально на их телефоне. Однако это не тот случай. Неочевидным фактом является то, что для обработки компания отправляет изображения на свои серверы. Когда фотография лица отправляется на сервер компании, приложение добавляет к ним уникальные идентификаторы установки, созданные в Google Play. Таким образом, каждая фотография «упакована» идентификационными данными пользователя. Хотя этот факт и упоминается в политике конфиденциальности компании, таким образом появляется возможность неправомерного использования данных — либо самой компанией, либо третьей стороной», — отмечает глава исследовательского подразделения Check Point Software Technologies Янив Балмас.
По словам специалиста, у Check Point Research нет возможности узнать, делает ли компания что-то незаконное с данными пользователей. Однако, по его мнению, особенно важно, чтобы пользователи осознавали риски, связанные с использованием приложения, которое отправляет контент на незащищенные серверы.
«Риск того, что фотографии вас или ваших близких окажутся в руках злоумышленников в случае утечки данных или кибератаки, в данном случае существенно возрастает. Также всем пользователям при загрузке приложения рекомендую внимательно проверять, что именно приложение просит их сделать, или какие разрешения дать, например, для доступа к контактам или данным на устройстве. Никогда не нажимайте просто по умолчанию «Принять все», — советует Балмас.
Опасность утечки фотографий заключается в том, что для профессиональных мошенников ценность могут представлять разнообразные детали с утекших в сеть фотографий, отмечает исследователь компании ESET Амер Овайда.
«Адрес места жительства, дорогая мебель и домашняя техника на заднем плане – все это может послужить сигналом для грабителей. Личные данные с таких кадров могут пополнить базы данных даркнета и быть использованы для афер с использованием социальной инженерии», — отметил Овайда.
Ранее исследователи Check Point Software Technologies сообщали о растущем числе киберугроз, связанных с применением мессенджера Telegram. ИБ-исследователи выявили ряд атак с применением вируса удаленного доступа. При этом хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение и в том случае, если Telegram не используется или даже если он и вовсе не установлен на устройстве.
Валерия Бунина