Ettevaatust - hiinlaste viraalne iluäpp Meitu nõuab vaikimisi ligipääsu hirmpaljudele seadetele
Hiinlaste tehtud fototöötlusrakendusega saab portreesid lausa jaburalt-suhkruselt ebareaalsuse piirile „ilustada“, mõne filtriga on enda pilti võimalik lausa anime karakteri sarnaseks moondada. Sel on aga oma varjupool, hoiatab Ars Technica.
Rakendus on Hiinas juba aastaid saadaval olnud, ent alles paari viimase nädala jooksul on sellest mujal maailmas hitt saanud. Sealhulgas on Meitu kasutajaid juba ka siin Eestis, kes vähemalt esmapilgul tunduvad seda pruukivat peamiselt nalja eesmärgil – sealsed filtrid ja fotodele lisatavad jubinad on lihtsalt sedavõrd üle võlli suhkrused.
Nagu Ars Technica aga kirjutab, nõuab Meitu ligipääsu väga paljudele seadetele – sealhulgas IMEI-koodile (see on number, mida võib tinglikult nimetada seadme isikukoodiks), asukohale, kontaktidele ja muule.
Küberturvalisusega tegelejad hakkasid peale nende asjaolude ilmsikstulekut rakendust põhjalikumalt uurima ja leidsid äpist mitmeid võimalikke turvaauke ja tõsiseid ohuallikaid privaatsusele. Üks uurija leidis, et Androidi versioon äpist küsib vaikimisi luba lausa tosinatele funktsioonidele ligipääsuks ja saadab andmeid mitmetele Hiinas asuvatele serveritele – nende andmete hulgas on kasutaja kalender, kontaktid, SMS-sõnumid, IMEI-number ja kõvaketta sisu. Androidi versioon on väidetavalt märksa ebaturvalisem, ent ka iOSi versioon pidavat digikriminalistikaeksperdi Jonathan Zdziarski sõnul salamisi vaatama, kas kasutaja telefonile on tehtud nn jailbreak. See on Apple'i poolt mittetoetatav operatsioon, mis võimaldab kõrvalisele tarkvarale ligipääsu iPhone'i failisüsteemile, misläbi saab seadme funktsioone laiendada, näiteks installida teisi rakendusi peale AppStore`i omade.
Üle miljardi installi
Meitu väidab kodulehel, et rakendust on installitud 1,1 miljardit korda ja sel on 456 miljonit aktiivset igakuist kasutajat üle maailma. Mida aga kodulehel ei räägita, on see, mida nende andmetega pihta hakatakse. Matthew Garrett CoreOS-ist ütleb, et lihtne vastus on see, et rakenduste autorid teenivad raha reklaamimüügiga ja reklaamijatele meeldib teada saada, kes nende reklaame näevad. Mida enam rakenduse kasutust on konkreetse inimesega seotud, seda paremini saab teada ka, mil viisil inimesed erinevatele reklaamidele reageerivad ja seda paremini saab teha suunatud (ja loodetavasti kasumlikumat) reklaami. Arendaja Brianna Wu väidab samas, et andmeid kogutakse palju pahatahtlikumatel põhjustel ja tegu pole lihtsalt tarbijaprobleemi, vaid riiklikul tasandil küberturvaküsimusega.
Meitu kõneisik ütles CNET-ile, et andmeid küsitakse seetõttu, et nende peakorter asub Hiinas, kus ei saa Apple`i ja Google`i äpipoodide teenuste funktsioneerimist jälgida, sest see on blokeeritud. Et sellest mööda hiilida ja kasutajate andmed kooskõlastatuna hoida, kasutab Meitu eri jälgimissüsteeme. Kogutud andmed saadetakse Meitu enda väitel turvaliselt, mitmetasandilist krüpteeringut kasutades serveritesse, mis on turvatud kvaliteetse tulemüüri ning IDS- ja IPS-kaitsega.