Az elmúlt napokban a média felkapta a hírt, hogy egy kínai fejlesztésű alkalmazás, a Meitu a fotóink mangás/animés kinézetre való átalakítása mellett a különféle adatainkból is “csemegézik” egy kicsit, majd ezt kínai szerverekre továbbítja.

Természetesen a média sokszor hajlamos túlreagálni a híreket, így nézzük meg, mit érdemes tudni az egészről, vagy hogy akkor most azonnal törölni kell-e az appot a készülékünkről.

Milyen adatokat gyűjt össze a Meitu az iOS-en?

• A készülék és az előfizető egyedi azonosítására alkalmas IMEI, IMSI azonosítók illetve MAC-cím a jelek szerint nem kerülnek elküldésre sem a Meitu fejlesztői, sem külső analitikai oldal számára. Ezek ugyanis az iOS-ből nem nyerhetőek ki az alkalmazások által. Az előzetes tesztelés azt mutatja, hogy az app egy hamis MAC-címet (02:00:00:00:00:00) küld csak el a szervernek. Jonathan Zdziarski rámutatott arra, hogy az alkalmazás kódjában megtalálható olyan kódrészlet, amivel a MAC-címet szokták lekérdezni. Ugyanakkor az iOS-en futó alkalmazások a sandboxing miatt nem férhetnek hozzá ezekhez az azonosítókhoz. Így az app ezen funkciója nem jelent biztonsági kockázatot azok számára, akiknek a készülékén iOS 8 vagy annál magasabb verziójú rendszer van.
• Az app a következő adatokat küldi el a Meitu analitikai szerverének (adui.tg.meitu.com): iOS-verzió (például “10.2”), készüléktípus (például “iPhone7,2”), hálózati kapcsolat típusa (például “WiFi”), a készülék nyelve és régiója, a használat országa, és egy véletlenszerűen generált egyedi azonosító.
• Ahogyan arra Zdziarski rámutat, az app ezeken túl a mobilszolgáltató nevét is lekérdezi és elküldi a Umeng/Youmi (alogs.umeng.com) szerverére.
• Egy “channel_id” is elküldésre kerül az adui.tg.meitu.com szerver számára. Ez egy bevett szokás a kínai appok esetén a különféle külső “assistant” vagy “helper” alkalmazások használata miatt. Ha az app az Apple App Store-ból került letöltésre, abban az esetben az “App Store” kerül elküldésre ebben a paraméterben.
• Az app a GPS általi helyzetünket is nyomon követi – már ha ezt engedélyeztük neki, és ezt is továbbítja az analitikai szerver felé. A vizsgálata során Chronic kolléga nem tudta egyértelműen megállapítani, hogy pontosan melyik szerver kapja meg a helyzetünk információit, de meglehetősen biztos abban, hogy ez egy külső szerver, és nem közvetlenül a Meitu hívja meg. (Megjegyzés: az app egyébként kér hozzáférést a helyzetünkhöz egy kifejezetten “informatív”, kínai szöveggel, de a jelek szerint azt a helyi időjárás megjelenítéséhez használja.)
• Az app még azt is ellenőrzi, hogy a készülék jailbreakelt-e, ezt azért teszi, mert ez egy követelmény a WeChat SDK használatakor.

Privát API használata

• Zdziarski azt is megjegyzi, hogy az alkalmazás forrása olyan kódot is tartalmaz, ami két function-t tölt be egy privát frameworkből. Itt érdemes azonban kiemelni azt, hogy ez a kód úgy nem működhet, ahogyan az alkalmazásban szerepel. Ennek az oka az, hogy az app a privát frameworköt a “/Applications/Xcode.app/…” kezdetű elérési útvonalról töltené be – ez az útvonal pedig nem létezik az iOS-ben (nem úgy macOS esetén ugye, már ha telepítve van az Xcode).
• Az app valóban tartalmaz olyan kódrészletet, ami lehetővé tenné privát frameworkök dinamikus betöltését futás közben. Azonban semmi jele nincs annak, hogy az app ezt meg is tenné. Ez a kód nem a Meitutól származik, hanem azért került be az appba, mert az felhasználta a Facebook SDK-t is.

Összefoglalva

Megkérdőjelezhető, hogy miért szükséges adott esetben túlzott mértékűnek tűnő analitika egy egyszerű app esetén. De azért ne hagyjuk figyelmen kívül, hogy egy elsősorban a kínai felhasználóknak szánt alkalmazásról van szó, és nem is lenne ennyire felfújva az egész, ha hirtelen nem vált volna népszerűvé az app a nyugati felhasználók között is. És így az egyébként is kényes amerikai-kínai viszony miatt többen is aggályosnak érzik, hogy az adataik egy része kínai cégekhez kerüljön.

A különféle analitikai keretrendszerek használata általánosan bevett szokás az ingyenes alkalmazások esetén, hiszen ahogyan azt már mindenki ismerheti: nincs ingyen ebéd. Legtöbb esetben tehát ilyenkor mi magunk válunk felhasználóból termékké, és gyakorlatilag az adatainkkal fizetünk az ingyenességért cserébe. Ettől a Meitu sem nagyon tér el.

No persze ez nem jelenti azt, hogy a fizetős alkalmazásokban ne lenne analytics, ugyanakkor sok esetben egy-egy ingyenes alkalmazás valójában nem más, mint a big data begyűjtésének eszköze (és van olyan is, amikor a tényleges app túlnyomó részét valójában az ilyen különféle frameworkök teszik ki).

Egy dolog azonban bizonyosnak tűnik: érdemes elővigyázatosan kezelni bármit, ami rövid idő alatt válik népszerűvé.