По мнению эксперта, данные передаются без шифрования.
В Google Play появилось приложение «Социальный мониторинг», выпущенное властями Москвы. На него обратили внимание авторы Telegram-канала «Нецифровая экономика». В App Store сервис пока отсутствует.
Приложение вышло 25 марта. Разработчиком значится ГКУ «Информационный город», которое подчиняется департаменту информационных технологий Москвы. Организация уже выпустила несколько других сервисов для мэрии.
В описании приложения указано, что оно предназначено для «социального мониторинга граждан и вызова помощи в экстренной ситуации». Редактор TJ попытался его установить: сервис потребовал предоставить доступ к шести категориям данных, в том числе о геолокации и звонках.
К каким данным требует доступ «Социальный мониторинг»:
- Доступ к фото и видеосъёмке;
- Доступ к точному и примерному местоположению;
- Разрешение на совершение звонков;
- Получение данных о статусе телефона;
- Датчики о состоянии организма (например пульсометр);
- Просмотр, а также изменение или удаление данных на накопителе;
- Доступ к запуску активных сервисов;
- Доступ к настройкам Bluetooth;
- Управление вибросигналом;
- Запуск приложения при включении смартфона;
- Данные о подключении к Wi-Fi, а также управление включением датчика;
- Неограниченный доступ к сети и к получению данных;
- Просмотр сетевых подключений;
- Неограниченный расход батареи;
- Отключение спящего режима;
- Play Install Referrer API (отслеживание популярности приложения разработчиками;
- Установление соединения с Bluetooth-устройствами.
Редактору TJ не удалось зарегистрироваться в приложении: на этапе ввода номера телефона оно зависло. С похожей проблемой столкнулась Русская служба Би-би-си, у сотрудника которой не вышло зарегистрироваться из-за ошибки идентификации на этапе фото.
Автор «Нецифровой экономики» зарегистрировался в приложении и успешно сфотографировался. После этого приложение предоставило пользователю доступ к «SOS» и «Последним новостям». Первая кнопка ведёт к вызову экстренных служб, а вторая — на сайт мэрии с описанием ситуации с коронавирусом.
Бывший IT-волонтер Фонда борьбы с коррупцией, автор Telegram-канала «IT и Сорм» Владислав Здольников изучил приложение и сделал вывод, что оно передаёт информацию на серверы мэрии в открытом виде без шифрования. По его словам, «Социальный мониторинг» распознаёт лица через эстонский сервис identix.one, передавая фотографии на серверы хостинговой компании Hetzner в Германии. Здольников также выяснил, что в QR-кодах зашифрованы индивидуальные идентификаторы устройства (MAC и IMEI).
В контактных данных разработчиков указана почта wokkalokka.app@gmail.com. Русская служба Би-би-си предположила, что она связана с кемеровской компанией Wokka Lokka, которая разрабатывает приложения для отслеживания местоположения детей. Несмотря на это, название почты расходится с адресами, указанными на сайте Wokka Lokka и описании приложения в Play Market.
Фирму Wokka Lokka возглавляет Игорь Афанасьев. Русская служба Би-би-си утверждает, что он также владеет московской компанией «Гаскар Интеграция», у которой есть несколько контрактов с Департаментом информационных технологий (ДИТ) Москвы. Изначально Афанасьев отрицал причастность к разработке приложения, но после того, как журналисты назвали почту, он рекомендовал обратиться в ДИТ.
Несмотря на малое количество скачиваний (около 100), пользователи начали намеренно занижать оценку сервиса. На момент написания новости приложение получило 2,1 тысячи отзывов и общую оценку — 1,0.
29 марта «Медуза» сообщила, что жителей Москвы могут обязать к получению персонального QR-кода для каждого выхода из дома, включая вынос мусора, поход в магазин или поликлинику. Через два дня информацию подтвердили «МБХ Медиа» и «Коммерсантъ». Оба издания отметили, что, вероятно, это не финальная версия документа.