Независимый проект «Теплица социальных технологий» изучил технические характеристики государственного мессенджера Мах и рассказал о том, как он следит за пользователями.
«Теплица» пишет, что приложение собирает «ненормально широкий спектр личных данных»: он имеет доступ к основным функциям телефона, записывает действия пользователей, фиксирует геолокацию и черновики неотправленных сообщений.
Так, в материале проекта сказано, что в Мах встроен трекер аналитики MyTracker, который собирает данные о возрасте, поле, номере телефона, почтовых адресах и ID из других соцсетей. Причем заниматься сбором данных мессенджер может даже у тех пользователей, которые находятся за пределами России.
Таким образом, Мах создает цифровой профайл человека, который могут использовать для деанонимизации пользователей в других приложениях. Также Мах отслеживает поисковые запросы внутри мессенджера, что приводит к риску преследования по закону об умышленном поиске запрещенных материалов.
Кроме того, как пишет «Теплица», встроенная в Мах нейросеть «пытается контролировать политические взгляды». Так, ИИ-ассистент отказывается отвечать на «неудобные» вопросы, фиксируя при этом, о чем была переписка.
Также эксперты отметили, что Мах может записывать аудио и видео в фоновом режиме без ведома пользователя и захватывать экран смартфона. «Возможность Мах выполнять прослушку, пока ваш смартфон лежит на тумбочке, означает, что ваши разговоры на кухне и лай вашей собаки могут осесть на госсервере», — пишет «Теплица».
Проект отмечает, что если Мах хотя бы один раз запишет голос пользователя, его могут внести в базу цифровых слепков, что позволит силовикам идентифицировать человека при прослушивании его разговоров.
По данным «Теплицы», мессенджер может собирать «улики», отслеживая геолокацию. Так силовики могут узнать о посещении пользователем запрещенных акций или пребывание на конспиративных квартирах. Эксперты отметили, что Мах позволяет удаленно «пинговать» устройства, но подчеркнули, что это возможно только в случае, если мессенджеру предоставлено разрешение на постоянное отслеживание по GPS.
Также мессенджер умеет считывать файлы разных форматов, которые пользователи пересылают друг другу — от скриншотов до PDF-документов. Помимо этого, у Мах обнаружили функцию хранения черновиков сообщений. Даже если человек впоследствии удалил черновик, его копия сохраняется на серверах.
В «Теплице» добавили, что код Мах устроен таким образом, чтобы его было невозможно полностью проанализировать сторонним экспертам. По словам автором материала, такой подход обычно используют для того, чтобы скрыть реальное назначение приложения. В финале статьи «Теплица» дала советы, как обезопасить себя при использовании госмессенджера.
