Гаоде Карти, Bilibili та ще 4 китайські додатки викрили проблеми безпеки! Відділ цифрових розробок: особисті дані можуть передаватися до Китаю

Розробницький департамент опублікував результати перевірки безпеки чотирьох китайських додатків, включаючи AutoNavi (高德地圖) та iQIYI, виявивши, що всі вони надмірно збирають конфіденційні дані та передають їх на сервери в Китаї.

Розробницький департамент опублікував результати перевірки безпеки 4 китайських додатків

Цифровий департамент сьогодні (27 числа) офіційно оголосив результати перевірки безпеки мобільних додатків китайського виробництва, включаючи AutoNavi, Bilibili, iQIYI та BIMOBIMO, з яких всі виявили ризики, пов’язані з збором особистих даних, читанням системної інформації, моніторингом у фоновому режимі та передачею даних до Китаю.

Зокрема, AutoNavi став додатком з найвищим рівнем ризику. Розробницький департамент зазначив, що для версії Android було виявлено 11 потенційних проблем безпеки, а для iOS — 8 ризиків.

Джерело зображення: Результати перевірки безпеки китайських додатків (Android)

Джерело зображення: Результати перевірки безпеки китайських додатків (iOS)

Ця перевірка зосереджена на аналізі чотирьох основних аспектів: моніторинг у реальному часі, доступ до інформації між додатками, зчитування системної інформації, а також передачі та обміну даними, — всього 15 пунктів перевірки. Вона охоплює питання, чи постійно додатки зчитують геолокацію, буфер обміну, мікрофон, мультимедійні дозволи, записи здоров’я, контакти, календар, ідентифікатори пристрою, а також чи продовжують передавати дані у фоновому режимі навіть при закритті.

Департамент безпеки інформаційних технологій зазначив, що майже всі 4 протестовані додатки мають проблеми з надмірним доступом до конфіденційних дозволів, що не пов’язані з їх основною функціональністю, а деякі програми навіть без відома користувача постійно передають дані на сервери в Китаї.

AutoNavi — додаток з найвищим рівнем ризику, функція навігації може спричинити питання національної безпеки

За результатами, опублікованими департаментом, Android-версія AutoNavi має до 11 потенційних проблем безпеки.

Зокрема, вона постійно зчитує геолокацію користувача, буфер обміну, доступ до сховища, зчитує мультимедіа та відео у реальному часі, мікрофон, контакти, календар, записи здоров’я та ідентифікатори пристрою, а також продовжує передавати дані навіть у закритому стані додатку.

Хоча iOS-версія має менше ризиків, все ж виявлено 8 потенційних проблем, включаючи постійне визначення місцезнаходження, зчитування мультимедіа та записів здоров’я, а також передачу даних до серверів у Китаї.

Департамент безпеки зазначає, що частина дозволів AutoNavi не має прямого зв’язку з основною функціональністю навігації, що свідчить про надмірний збір особистих даних.

Особливо, що останнім часом AutoNavi підтримує 3D-міські панорами Тайваню, інформацію про світлофори у реальному часі та високоточну навігацію, що викликає підвищену увагу. Департамент безпеки вважає, що при поєднанні довгострокових даних про місцезнаходження, маршрутів та панорамних знімків можливо робити висновки про режим діяльності окремих осіб, їх пересування та щоденні маршрути.

Якщо ці дані додатково поєднати з інформацією урядових установ, військових об’єктів або важливих інфраструктурних об’єктів, це може призвести до збору розвідданих, моніторингу важливих об’єктів та ризиків у сфері кібербезпеки.

Крім того, через тривалий час навігації, AutoNavi, що має доступ до мультимедіа, відео та мікрофона, може створити ризик довгострокового прихованого запису особистої приватної інформації, комерційних та особистих розмов.

Bilibili, iQIYI та BIMOBIMO також мають проблеми з передачею даних

Крім AutoNavi, Bilibili, iQIYI та BIMOBIMO також виявили численні проблеми безпеки.

Розробницький департамент зазначає, що всі 4 додатки, незалежно від платформи (iOS або Android), мають доступ до мультимедіа, відео, ідентифікаторів пристрою та передають ці дані на сервери в Китаї. Крім того, у них виявлено проблеми з доступом до календаря, списку справ та мікрофона.

Користувачам Android слід бути особливо обережними: навіть у закритому стані додатки можуть продовжувати передавати дані, а також існує ризик зчитування буфера обміну та сховища.

Розробницький департамент наголошує, що згідно з китайським законом «Про кібербезпеку» та «Загальнодержавною інформаційною законом», уряд має право вимагати від компаній надання відповідних даних, тому інформація, зібрана цими додатками, може бути доступна для китайських спецслужб, поліції та розвідки.

Директор департаменту безпеки Юй Вей Лі зазначає, що у разі витоку або неправомірного розповсюдження таких даних вони можуть потрапити на чорний ринок і бути використані шахраями для AI-шахрайств, крадіжки акаунтів, цільового маркетингу та соціальної інженерії.

Зокрема, буфер обміну може містити OTP-коди, дані кредитних карток та облікові дані; записи здоров’я — використовуватись для аналізу особистих звичок і режиму дня; голосові та відеодані — для створення Deepfake-відео за допомогою штучного інтелекту.

Департамент закликає користувачів перевірити налаштування дозволів та джерела завантаження додатків

У відповідь на результати перевірки, департамент пропонує три рекомендації щодо захисту безпеки:

1. Перед встановленням додатку уважно ознайомитись з політикою конфіденційності та дозволами, переконатися, що запити відповідають функціональності додатку.
2. Регулярно перевіряти налаштування дозволів у телефоні, вимикати непотрібні дозволи на геолокацію, мікрофон, буфер обміну та фонову роботу.
3. Якщо додаток більше не використовується, його слід видалити, перезавантажити пристрій і провести сканування за допомогою антивірусних інструментів.

Департамент також нагадує, що навіть якщо користувач не надає дозволу, деякі додатки можуть у фоновому режимі збирати дані через системні механізми.

Розробницький департамент рекомендує завантажувати додатки лише з офіційних та довірених джерел, уникати інсталяції програм з невідомих сайтів. При необхідності користування сервісами, що вимагають передачі даних за кордон, краще обирати внутрішні платформи або ті, що мають чіткі стандарти безпеки, щоб зменшити ризики довгострокового розкриття особистої інформації та пристрою.

Зі зростанням ролі AI, платформ для міжнародної комунікації та розумних додатків, смартфони все більше стають ключовим входом до особистих даних, платіжної інформації та історії поведінки. Виявлені проблеми безпеки AutoNavi та інших китайських додатків знову привертають увагу до питань суверенітету даних та ризиків цифрового контролю, що може стати новою темою національної безпеки.