Гаode Карты, Bilibili и еще 4 китайских приложениях выявлены проблемы с безопасностью! Отдел информационных технологий: личные данные могут передаваться в Китай

Результаты проверки безопасности четырех китайских приложений, включая AutoNavi Maps и iQIYI, опубликованные департаментом цифрового развития, выявили чрезмерный сбор чувствительных личных данных и передачу данных на серверы в Китае.

Департамент цифрового развития объявил результаты проверки безопасности 4 китайских приложений

Сегодня (27-го) департамент цифрового развития официально обнародовал результаты проверки безопасности китайских мобильных приложений, включая AutoNavi Maps, Bilibili, iQIYI и AI-чат BIMOBIMO, все из которых были обнаружены с рисками сбора личных данных, чтения системной информации, фонового мониторинга и передачи данных в Китай.

Среди них AutoNavi Maps стал приложением с наибольшим уровнем риска. В сообщении указано, что версия для Android выявила 11 подозрительных аспектов безопасности, а версия для iOS — 8 рисков.

Источник изображения: результаты проверки безопасности китайских приложений департамента цифрового развития (Android)

Источник изображения: результаты проверки безопасности китайских приложений департамента цифрового развития (iOS)

Данная проверка сосредоточена на четырех направлениях: мониторинг поведения в реальном времени, доступ к информации между приложениями, сбор системной информации, а также передача и обмен данными, всего 15 пунктов проверки. Включены проверки на постоянное чтение геолокации, буфера обмена, микрофона, мультимедийных разрешений, записей здоровья, контактов, календаря, идентификаторов устройств и на продолжение передачи данных даже при закрытом состоянии приложения.

Отдел безопасности департамента цифрового развития заявил, что почти все протестированные 4 приложения имеют проблемы с чрезмерным сбором чувствительных разрешений, не связанных с их основными функциями, а некоторые программы продолжают передавать данные на серверы в Китае без ведома пользователя.

AutoNavi Maps — приложение с наибольшим риском, возможные проблемы с национальной безопасностью

По результатам проверки, версия AutoNavi Maps для Android выявила до 11 подозрительных аспектов безопасности.

Включая постоянное чтение геолокации пользователя, доступ к буферу обмена, чтение хранилища, получение мультимедийных данных и изображений в реальном времени, доступ к микрофону, контактам, календарю, записям о здоровье и идентификаторам устройств, а также постоянную передачу данных даже при закрытом приложении.

Версия для iOS, хотя и содержит меньше рисков, всё равно выявила 8 подозрительных аспектов, таких как постоянное отслеживание местоположения, чтение мультимедийных данных и записей о здоровье, а также передачу данных на серверы в Китае.

Отдел безопасности департамента отметил, что некоторые разрешения AutoNavi Maps не связаны напрямую с навигационной основной функцией, что свидетельствует о проблеме чрезмерного сбора личных данных.

Особенно недавно AutoNavi Maps вызвало повышенный интерес из-за поддержки 3D-видов улиц Тайваня, отображения секундных таймеров светофоров и высокоточной навигации. Служба безопасности считает, что при объединении долгосрочных данных о местоположении, маршрутах и информации о улицах можно провести кросс-анализ для определения закономерностей деятельности, перемещений и ежедневных маршрутов конкретных лиц.

Если эти данные дополнительно связать с государственными учреждениями, военными объектами или важной инфраструктурой, это может привести к сбору разведывательной информации, мониторингу чувствительных объектов и рискам кибербезопасности.

Кроме того, учитывая длительный режим навигации AutoNavi Maps, постоянное получение разрешений на видео, изображение и микрофон создает риск длительного скрытого слежения за личной жизнью, коммерческими секретами и содержимым диалогов.

Bilibili, iQIYI и BIMOBIMO также имеют проблемы с передачей данных

Помимо AutoNavi Maps, Bilibili, iQIYI и BIMOBIMO также были обнаружены с множеством подозрительных аспектов безопасности.

Департамент отметил, что все 4 приложения, независимо от платформы iOS или Android, запрашивают доступ к мультимедийным данным, изображениям в реальном времени, идентификаторам устройств и передают эти данные на серверы в Китае. Кроме того, у них есть проблемы с доступом к календарю, спискам задач и микрофону.

Пользователи Android должны особенно внимательно относиться: даже при закрытом состоянии приложения некоторые из них продолжают передавать данные, а также есть риски чтения буфера обмена и хранения данных.

Департамент подчеркнул, что согласно законам Китая о кибербезопасности и национальной разведке, государство может требовать у компаний предоставления соответствующих данных, поэтому собранная информация может быть доступна службам безопасности, полиции и разведке.

Руководитель отдела безопасности Ли Юйвэй отметил, что в случае утечки или неправильного обращения, эти данные могут попасть на черный рынок и быть использованы мошенниками для AI-мошенничества, кражи аккаунтов, точечного маркетинга и социальной инженерии.

В частности, данные буфера обмена могут содержать OTP-коды, информацию о кредитных картах и учетных данных; записи о здоровье — для анализа привычек и распорядка; аудио- и видеоданные — для создания Deepfake-видео с помощью AI.

Департамент призывает граждан перепроверить разрешения и источники загрузки приложений

В ответ на результаты проверки департамент предлагает три рекомендации по обеспечению безопасности.

1. Перед установкой приложения внимательно изучайте политику конфиденциальности и запрашиваемые разрешения, убедитесь, что они соответствуют функциональности.
2. Регулярно проверяйте настройки разрешений на устройстве, отключайте ненужные доступы к геолокации, микрофону, буферу обмена и фоновым процессам.
3. Если приложение больше не используется, его следует удалить, перезагрузить устройство и провести сканирование с помощью средств защиты.

Также служба безопасности напоминает, что даже без явного разрешения некоторые приложения могут через фоновые процессы или системные механизмы продолжать сбор данных.

Департамент советует скачивать приложения только из легальных и доверенных источников, избегать установки программ из неизвестных источников. При необходимости использования межгосударственной связи, навигации или мультимедийных функций лучше отдавать предпочтение отечественным разработкам или платформам с ясными стандартами безопасности, чтобы снизить риски долгосрочной утечки личных данных и информации о устройстве.

В связи с ростом использования AI-инструментов, межгосударственных платформ и сложных функций приложений, смартфоны все больше превращаются в основной источник личных данных, платежной информации и поведения. Взрыв уязвимостей, выявленных в AutoNavi Maps и других китайских приложениях, вновь привлекает внимание к вопросам суверенитета данных и цифрового контроля, которые могут стать новыми аспектами национальной безопасности.