Приложение «Социальный мониторинг» - помощник или враг?
Приложение «Социальный мониторинг» (от разработчика ГКУ «Информационный город» (подчиняется Департаменту информационных технологий Москвы)), которое выпустила мэрия Москвы для контроля за пациентами с подтверждённым диагнозом COVID-19, некорректно выписывает штрафы за нарушение карантина. Об этом массово сообщают пользователи сервиса в отзывах в магазинах приложений.
Штраф за нарушение режима самоизоляции пациентом с подтверждённым COVID-19 в Москве составляет 4000 рублей. Судя по отзывам, некоторым приложение, которое отслеживает перемещения владельца при помощи геолокации в смартфоне, успело выписать несколько штрафов.
Начальник Главного контрольного управления Москвы Евгений Данчиков сообщил, что с камер фотовидеофиксации и приложения «Социальный мониторинг» выписано уже 35 000 штрафов, и «ни один из них пока не был обжалован».
Если гражданин считает, что штраф пришел вследствие сбоя в работе приложения, он может воспользоваться существующим механизмом обжалования. Нужно дождаться поступления официального заказного письма с постановлением о совершении административного нарушения, в котором будут подробно изложены обстоятельства нарушения, — такое разъяснение дал Евгений Данчиков, руководитель Главконтроля Москвы, не указав, куда же следует обращаться после получения штрафа.
Помимо некорректно выписанных штрафов, пользователи сообщают и о нестабильной работе: регистрация проходит не с первого раза, идентификация по фото частично не работает, также программа выдаёт ошибку при совершении ряда действий. Фиксируется и повышенный расход заряда аккумулятора.
Также во время публичного тестирования приложения специалисты обнаружили, что оно передаёт персональные данные в незашифрованном виде на сервера в Европе, а также запрашивает практически все существующие в системе Android разрешения на доступ к информации: о местоположении, на фото и видеосъёмку, к данным об устройстве, Bluetooth и Wi-Fi, звонкам, неограниченному расходу аккумулятора и многим другим данным.
Автор Telegram-канала «IT и СОРМ» Владислав Здольников c разработчиком Дмитрием Тарасенко проанализировали APK-файл приложения и выяснили, что оно:
- Передаёт персональные данные зарегистрированных пользователей на сервер по протоколу HTTP без шифрования
- Получает данные о MAC-адресе устройства даже без выданных разрешений при помощи хака
- Передаёт данные для распознавания лиц на сервер эстонской компании identix.one без шифрования
- В коде в открытом виде хранится токен API сервиса identix.one, позволяющий запрашивать данные у сервиса от лица приложения «Социальный мониторинг»
- В генерируемых QR-кодах, при помощи которых силовые структуры будут контролировать правомерность перемещения граждан по Москве, зашифрованы индивидуальные идентификаторы устройства (MAC и IMEI).
