Populární mobilní aplikace odesílá fotky uživatelů na vzdálený server
04.07.2021
Populární mobilní aplikace odesílá fotky uživatelů na vzdálený server

​Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies provedl zběžnou analýzu populární mobilní aplikace Voilà AI Artist, pomocí které si uživatelé mohou nechat vytvořit kreslené varianty svých profilových fotek. Ačkoli výzkumný tým Check Point Research v tuto chvíli nezaznamenal žádné zásadní hrozby, potenciální riziko je spojené s odesíláním fotek na vzdálené servery, aplikace zároveň obsahuje jedinečné identifikační číslo vygenerované službou Google Play. V případě hacku nebo narušení bezpečnosti by tak hackeři mohli získat přístup k obrovské databázi fotografií obličejů a identifikačních údajů.

Výzkumný tým k aplikaci také poznamenal:

  • Aplikace byla vytvořena legitimní společností registrovanou ve Spojeném království.
  • Co se oprávnění týče, aplikace využívá pouze nezbytná práva potřebná k provozu.
  • Aplikace ověřuje, zda obrázky obsahují nějaký obličej, a teprve po tom je odesílá na server ke zpracování.
  • Veškerá komunikace se serverem probíhá pomocí protokolu HTTPS, takže provoz je šifrován.
  • Aplikace obsahuje jedinečné identifikační číslo vygenerované službou Google Play, takže by v případě hacku mohli útočníci spojit obličeje s konkrétními instalacemi.

"Většina uživatelů předpokládá, že aplikace Voilà AI Artist zpracovává fotky přímo v telefonu, ve skutečnosti obrázky obličejů odesílá ke zpracování na servery vývojářů. Každou fotografii je navíc možné spojit pomocí identifikačních údajů s konkrétní instalací, což je sice uvedeno v zásadách ochrany osobních údajů, ale otevírá to možnost zneužití, ať už samotnou společností, která za aplikací stojí, nebo třetí stranou. Pokud by například došlo k hackerskému útoku na vývojáře, mohli by útočníci získat obrovskou databázi tváří. Považujeme za důležité, aby si uživatelé uvědomovali rizika spojená s odesíláním obsahu na vzdálené servery. V případě úniku dat nebo hackerského útoku by se mohli fotografie jejich tváře nebo tváře jejich přátel dostat do nepovolaných rukou," říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.