Meitu is een Chinees progje om je ikkie (zelfportet) mee te bewerken. Sedert de introductie in 2008 zou de toepassing al op miljarden mobieltjes zijn gezet, eerst alleen in China, maar tegenwoordig ook daarbuiten. De toepassing is er voor de iPhone van Apple en de Android-telefoons. Volgens webbeveiligingsdeskundige Greg Linares van eEye Digital Security stuurt de telefoon via de Meitu-toepassing veel gegevens naar China en mogelijk elders.
Het progje wil toegang hebben tot je kalender, camera, lokatie, contacten, foto’s, de inhoud van je usb-opslag en zo meer. Het schijnt ook het zogeheten unieke IMEI-nummer van het toestel ‘mee te nemen’, volgens Linares, die Meitu heeft onderzocht op privacygevoeligheden.
Met de verkregen informatie zou het volgens hem mogelijk zijn telefoon en eigenaar te koppelen en dan, met de juiste apparatuur, zou je de telefoon kunnen klonen en gesprekken en berichtjes kunnen onderscheppen. Het klonen van telefoons (het kopiëren van alle gegevens op een andere telefoon zodat die identiek is/lijkt) is in de meeste landen verboden en het is een relatief eenvoudige een goedkope manier om de bezitters te bespioneren, stelt de expert.
“Die info is prettig om te hebben en die kun verkopen aan andere mensen of organisaties die wel de middelen hebben om toestellen te klonen”, schrijft Linares. “Ik betwijfel of het bedrijf dat hier achterzit dat zelf doet (…), maar er bestaat de mogelijkheid dat personen de onderschepte informatie doorgeven.”
Verklaring
In een verklaring draait Meitu het gewoonlijke riedeltje af dat ook op ruime schaal gegevens garende techbedrijven als Google, Apple en Microsoft afdraaien: we nemen privacy van de gebruikers zeer serieus. Meitu zou alleen gegevens verzamelen om de toepassing te kunnen verbeteren, de algemene smoes die gebruikt wordt om zoveel mogelijk gegevens te verzamelen. Het bedrijf zou geen gegevens doorverkopen.
Volgens iOS-veiligheidsdeskundige Jonathan Zdiarski is er waarschijnlijk niks aan de hand. Hij decompileerde de broncode van de iOS-applicatie. Daarin vond hij vooral sporen van mogelijkheden die zijn bedoeld zo veel mogelijk inkomsten te genereren. “Als iemand me iets over Meitu zou vragen zou ik zeggen dat het rotzooi is met een hoop reclametraceerders.”
Censuur
De Chinese overheid doet er alles aan om de bevolking ook in het digitale tijdperk zo kort mogelijk te houden. De Chinese webtoezichthouder heeft onlangs nieuwe maatregelen genomen om voort te bouwen op weg naar die doelstelling. Zo moeten toepassingen in China gegevens verzamelen om de gebruiker te kunnen identificeren.
Een verder anonieme Nick (@FourOctets) constateerde dat de analyse van Linares bij zijn Android-toestel klopte. De gegevens worden naar China verstuurd. Die zouden, volgens eigen onderzoek van Intercept, naar verschillende webadressen in China gaan.
De deskundigen willen het niet meteen een achterdeurtje noemen, omdat Meitu wel degelijk vraagt om toestemming van de gebruiker voor toegang tot in ieder geval een aantal te delen gegevens. Het vervelende is echter dat veel gebruikers niet de moeite zullen nemen al die teksten helemaal door te worstelen. “Meitu’s lijst met te delen informatie is ongemakkelijk lang en als gebruikers dat toestaan, dan krijgt Meitu de informatie”, zegt veiligheidsdeksundige Jay Bennett, die de broncode van de toepassing ook heeft uitgeplozen. Volgens Zdiarski heeft Meitu een hoop manieren om je te traceren.
Matt Green van de John Hopkins-universiteit in de VS zegt dat de verzamelwoede van Meitu zorgwekkend is, maar niet noodzakelijk kwaadaardig. “De les is toch dat als je iets geheim wil houden laadt dat niet willekeurig Chinese Android-toepassingen.” En niet-Chinese, zou ik daar aan willen toevoegen.
Bron: the Intercept