Reklama

Aplikacja Voila - czy rzeczywiście jest bezpieczna?

Eksperci Check Point Research przeprowadzili wstępną analizę bezpieczeństwa popularnej aplikacji Voila, która zamienia zdjęcia osób w kreskówkowego awatara.

Chociaż w samym kodzie aplikacji eksperci jak na razie nie dostrzegli sygnałów ostrzegawczych, to podkreślają ryzyko związane z wysyłaniem zdjęć na serwery firmy w celu jego przetworzenia. W przyjętym przez dewelopera modelu zdjęcia twarzy użytkowników wraz z danymi identyfikującymi mogą trafić w przypadku cyberataku w niepowołane ręce!

Firma Check Point Research (CPR) przeprowadziła w ostatnich dniach wstępne badanie zabezpieczeń coraz popularniejszej aplikacji Viola, która zmienia nasze selfie w awatara z kreskówek. Stworzona przez brytyjską firmę LPP, aplikacja wykorzystuje - zdaniem analityków - jedynie niezbędne minimum uprawnień do jej działania. Aplikacja weryfikuje, czy obrazy zawierają twarze i dopiero po tej weryfikacji aplikacja wysyła je na serwer w celu obróbki. Eksperci Check Pointa, zwracają uwagę, że cała komunikacja z serwerem odbywa się za pomocą protokołu HTTPS, więc ruch jest szyfrowany od razu po zainstalowaniu, a sama aplikacja zwykle korzysta z dobrze znanych bibliotek open source.

Reklama

Do tego momentu specjaliści Check Pointa nie mają wątpliwości co do zastosowania odpowiednich zasad bezpieczeństwa. Te pojawiają się dopiero, gdy zdjęcie jest wysyłane na serwer z niepowtarzalnym identyfikatorem instalacji (vdid) wygenerowany przez Google Play, potencjalnie łączącym twarze z konkretną instalacją. W przypadku cyberataku na serwery LPP, dane użytkowników wraz z ich zdjęciami mogą trafić w ręce hakerów.

- Większość użytkowników prawdopodobnie zakłada, że ​przetwarzanie aplikacji Voila odbywa się lokalnie na ich telefonie. Nieoczywistym faktem jest to, że firma wysyła zdjęcia twarzy na swoje serwery w celu ich obróbki. Gdy zdjęcie twarzy jest wysyłane na serwer firmy, aplikacja dołącza unikalne identyfikatory instalacji, które zostały wygenerowane przez Google Play. Tak więc każde zdjęcie jest pakowane z danymi identyfikacyjnymi użytkownika. Chociaż fakt ten jest wymieniony w polityce prywatności firmy, otwiera się możliwość niewłaściwego wykorzystania danych - przez samą firmę lub przez stronę trzecią - mówi Yaniv Balmas, szef działu badań cybernetycznych w Check Point Software. 

Balmas dodaje, że jeśli firma zostanie zhakowana, osoby atakujące potencjalnie będą mogły zebrać dużą bazę danych wszystkich twarzy użytkowników aplikacji. - Nie jesteśmy w stanie stwierdzić, czy w działania firmy mogą być nieuczciwe lub złośliwe, jednak uważam, że nowi użytkownicy powinni mieć świadomość nieodłącznego ryzyka związanego z wysyłaniem treści na serwery w celu ich dalszego przetworzenia. - przyznaje ekspert Check Point Software.


INTERIA.PL/informacje prasowe

Reklama

Dowiedz się więcej na temat: Aplikacja Voila | aplikacja

Reklama

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Dziś w Interii

Raporty specjalne

Rekomendacje