Удобный карманный военкомат цифровой поводок
Внутри обязательного приложения «Резерв+», созданного для «уточнения данных военнообязанных», нашлось изрядное количество косяков еще в первый день его запуска.
В целом, как им не найтись, если это приложение — просто переписанная программа «электронного школьного дневника», код которого находится в открытом доступе и легко ломается. Собственно, именно по этой причине через три дня все данные зарегистрированных в приложении пользователей оказались в интернете. А хакеры и вовсе взломали телеграм-бот приложения и разослали через него вредоносную программу пользователям.
В истории многострадального приложения открылась новая глава.
Самые изобретательные украинцы сразу же стали вносить в Резерв неправильные данные, представляться выдуманными именами и так далее, чтобы загрузить базу бесполезной информацией. Приложение особо не сопротивлялось, что удивляло. Да только вот, оказывается, власти против этого ничего не имели. Личные данные властям не столь были нужны. Достаточного того, что вы просто скачали это приложение.
Код приложения проанализировали опытные айтишники и обнаружили следующее: в программе встроен набор инструментов индийской компании InMobi — той самой фирмы, которую в США оштрафовали на $4 млн за нелегальный сбор геолокации пользователей.
Что умеет этот «пассажир»? При установке приложение тайком, не спрашивая у вас, получает полный доступ к GPS, Wi-Fi, Bluetooth, списку сетей, датчикам движения и даже уровню заряда батареи пользователя. Координаты подтягиваются почти в реальном времени: ТЦК может видеть, где вы ночуете, где прячетесь, сколько минут стоите на остановке и во сколько отключаете телефон.
Минобороны всё отрицает, еще бы. Но если нужен лишь учёт резервистов, зачем они встроили туда рекламный модуль с международной репутацией охотника за данными? Для сбора информации можно было бы поступить проще. В данном случае разработчикам был сделан полноценный заказ на скрытую систему слежки. Приложение запрашивает всё — от MAC-адреса роутера до точной высоты над уровнем моря.
Доверили «Резерв+» настоящие ФИО и адрес? Поздравляем: государство получило живую карту ваших перемещений. Ждите электронную повестку и после ТЦК у подъезда. А послезавтра тот же массив может утечь к рекламщикам или мошенникам — защита данных в приложении, как мы выяснили выше, осталась довольно непродуманной.
Решать вам, делиться ли с ним каждым шагом — или оставить себе хотя бы иллюзию безопасности.
