Чем опасно приложение GetContact и почему его не нужно устанавливать

В конце февраля пользователи социальных сетей начали массово выкладывать скриншоты из приложения GetContact. Одна из его функций позволяет посмотреть, как записаны номера телефонов у других пользователей. Чтобы это сделать, необходимо завести аккаунт и предоставить приложению доступ к личным данным.

Что это такое

Издание VC.ru отметило, что первые упоминания приложения появились в декабре 2017 года. Всплеск популярности пришёлся на февраль 2018 года. Больше всего GetContact интересуются на территории Армении, Азербайджана, Казахстана и Киргизии.

Кроме того, 8 февраля приложение GetContact возглавило рейтинг российского App Store, а 26 февраля заняло первое место среди скачиваемых бесплатных приложений.

Приложение разработала компания Getcontact LLP. По данным английского сайта TheGazette, она была зарегистрирована в конце ноября 2017 года. Однако на официальном сайте указано, что компания работает с 2015 года.

Пользователи Twitter и других социальных сетей активно делятся своими эмоциями по поводу того, как они записаны у друзей и знакомых.

Другие иронично шутят про добровольный слив своих данных.

Остальные справедливо возмущаются халатным отношением к защите личной информации.

В феврале приложение заблокировали на территории Азербайджана из-за нарушения закона «О персональных данных и их защите».

После блокировки в Казахстане разработчики из Codebusters выпустили аналогичное приложение под названием GetContact_. По словам Мурата Алиханова, приложение скачали так много пользователей, что компания Codebusters может зарабатывать около 1 000 долларов в день.

Вчера Роскомнадзор объявил о начале проверки GetContact на наличие нарушений закона о персональных данных.

Валерия Ковалёва

Адвокат бюро «Мусаев и партнёры».

Как только не называют приложение GetContact: и приложение-шпион, и «разрушитель жизней».

Опасность его заключается в том, что это приложение не просто получает доступ к телефонной книге пользователя. Все контакты из неё попадают в общую базу. И тогда теоретически она может стать доступной практически каждому. Гарантий, что залитыми в Сеть контактами не воспользуются посторонние, нет никакой. Кому, как и когда попадёт номер телефона определённого человека, предугадать невозможно.

Кроме того, номер телефона и данные лица попадают в Сеть без его ведома и разрешения. Если тебе человек даёт свой номер, это ещё не означает, что он хочет, чтобы ты этот номер передал неизвестно куда и неизвестно кому.

Одно дело, когда скачанное приложение запрашивает разрешение на доступ к контактам на самом устройстве (к примеру, банковские приложения, такие как «Сбербанк онлайн»). И совсем другое, когда эти контакты заносят в свою базу.

Большинство пользователей устанавливают это приложение, чтобы «приколоться», «узнать что-то новенькое». Они не думают о последствиях. На мой взгляд, оно действительно нарушает закон о защите персональных данных, и Роскомнадзор не зря проверяет его. Скорее всего, его в России запретят: так же, как запретили уже в Казахстане и Азербайджане.

Как это работает

Пользователь регистрирует аккаунт и предоставляет приложению доступ к телефонной книге, так он пополняет общую базу данных. Это необходимо для того, чтобы приложение смогло определить входящий звонок от абонента, даже если его номера нет в списке контактов. Антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев рассказал Лайфхакеру о том, что такие приложения выгодны в первую очередь мошенникам, которым не составит труда узнать о вас всё.

Виктор Чебышев

Антивирусный эксперт «Лаборатории Касперского».

Потенциальная опасность этого приложения заключается в том, что у любого желающего появляется возможность сопоставить номеру телефона имя/фамилию и другую информацию о его владельце. С помощью таких данных телефонные мошенники могут проводить более точные и эффективные атаки, используя социальную инженерию.

Кроме того, если вы не знаете о существовании этого приложения и хотите, чтобы ваш номер телефона оставался известен только узкому кругу лиц, то это приложение может косвенно нарушить ваши права.

Увы, защититься от этого на 100% не представляется возможным, даже если вы будете соблюдать все правила безопасности. В этом случае номер телефона может оказаться в публичном доступе из-за других людей, которые используют GetContact, ведь невозможно поручится за всех абонентов телефонной книги.

Насколько приложение опасно

Если в поиске вбить номер, приложение покажет, как абонент записан у других пользователей. Причём проверить можно не только себя, но и любого другого человека, чьи данные есть в базе. Многие пользователи встревожились, ведь личные данные попали в чужие руки без их согласия.

Роскомнадзор уже предупредил пользователей об опасности подобных приложений на своей странице «ВКонтакте».

• Вы добровольно даёте доступ ко всей личной информации.
• В телефонной книге могут быть записаны номера кредитных карточек, ПИН-коды, пароли от личных кабинетов, и все эти данные попадут в открытый доступ.
• Разработчики могут продать базу данных третьим лицам: коллекторам, мошенникам и назойливым финансовым брокерам.

Войтех Бочек, старший инженер-программист компании Avast, рекомендует пользователям обращать внимание на условия пользовательского соглашения. Разработчики могут передавать информацию о вас третьим лицам, не говоря уже о взломе базы данных.

Войтех Бочек

Старший инженер-программист Avast.

Даже если отбросить в сторону потенциальные взломы и эксплойты, сочетание того, какие данные собирает и хранит GetContact, и их политики конфиденциальности должно насторожить потенциальных пользователей приложения.

Приложение загружает все списки контактов пользователей на серверы GetContact, в том числе номера телефонов людей, которые не давали согласия на передачу своих контактов. Например, WhatsApp показывает пользователям, кто из их телефонной книги тоже пользуется этим приложением, однако WhatsApp не хранит весь список контактов.

Согласно политике конфиденциальности GetContact, приложение может делиться всей информацией, которую собирает, «с любой третьей стороной». Тот факт, что GetContact может передавать всю эту информацию, очень настораживает.

Если GetContact делится этой информацией с третьими лицами, то она, вероятно, может распространяться среди рекламодателей, что довольно иронично, учитывая заявленную цель приложения. Оно нуждается в пользовательских данных, чтобы предоставить функциональные возможности, которые обещает своим пользователям. Если же приложение запрашивает чрезмерно много разрешений, стоит задуматься, нужно ли им пользоваться.

Некоторые разработчики приложений пытаются собрать как можно больше информации о своих пользователях, чтобы продавать свою информацию на подпольных форумах, для рассылки рекламных сообщений и других прибыльных схем. Другие могут использовать информацию, которую они собирают, чтобы продавать информацию для таргетированной рекламы.

Даже если базы данных не попадают в руки рекламодателей или киберпреступников, они по-прежнему привлекательны для хакеров, которые могут взломать серверы, на которых они хранятся. В 2013 году база данных TrueCaller, аналогичное приложение, была взломана Сирийской электронной армией.

Андрей Каюрин

Председатель президиума коллегии адвокатов «Свердловская областная гильдия адвокатов», вице-президент Гильдии российских адвокатов.

Представьте себе. Вы делитесь своим номером телефона с близкими людьми. А звонить и писать вам начинают совершенно неизвестные люди. Причём звонки и сообщения разного рода вас просто одолевают: это и рекламные предложения, и спам, да и просто какие-то сумасшедшие. Такое развитие событий вполне реально, если приложение GetContact получит массовое распространение.

В общую базу попадают не только номера контактов из телефонной книги, но и фотографии абонентов. Согласно информации в Google Play, авторы обещают выдавать всю информацию и фото звонящего, даже если его телефона нет в адресной книге абонента. Это ли не лучшее подтверждение того, что персональные данные, которые находятся под защитой на законодательном уровне, незаконно распространяются?

Кому попадёт информация о вас, как ею воспользуются — ответов на эти вопросы нет. Вполне вероятно, что распорядиться личными данными пользователей в своих преступных целях могут и мошенники. Ведь некоторые люди в качестве контактов записывают в телефонной книге пароли и ПИН-коды, в том числе от своих кредитных и зарплатных карт.

Сейчас у всех на слуху проблемы с коллекторами. Такое приложение для них просто подарок, ведь с его помощью отыскать номер нужного «клиента» им не составит труда.

GetContact может делиться любой личной или корпоративной информацией с третьими лицами, отправлять электронные письма, СМС или совершать иные маркетинговые действия, разрешённые законом. GetContact вправе собирать информацию о пользователях через другие приложения и использовать её в своих целях.

Когда вы принимаете условия пользовательского соглашения, разработчики получают все ваши данные:

• телефонную книгу;
• учётные записи социальных сетей;
• фотографии;
• адреса электронной почты;
• IP-адреса;
• записи телефонных звонков.

Генеральный директор компании «Облакотека» Максим Захаренко сообщил Лайфхакеру, что складывается интересная ситуация с точки зрения защиты информации.

Максим Захаренко

Генеральный директор компании «Облакотека».

Во-первых, хозяин телефонной книги осуществляет систематизацию и хранение персональных данных своих контактов, то есть де-факто является оператором персональных данных (152-ФЗ распространяется и на физических лиц) со всем вытекающим регулированием (в том числе как минимум получением согласия контакта на использование), но практики применения 152-ФЗ к обычным физлицам (пользователям, у которых есть смартфон) я не знаю.

Вторая проблема заключается в том, что систематизация и обработка контактных данных из всех телефонных книг осуществляется вне территории РФ, что нарушает уже другую часть закона о необходимости первичной актуализации персональных данных на территории РФ.

Основная же проблема в том, что пользователь по умолчанию считается разумным. То есть, если он сознательно соглашается с тем, что данные его телефонной книги будут переданы в облако и будут использованы неким приложением, то считается, что он осознаёт последствия этого действия. На самом деле, это совершенно не так, фактически ни один обычный пользователь не может даже представить себе, куда могут попасть данные и как они могут быть использованы. К тому же никому не приходит в голову, что это даже не его личные данные, а данные других субъектов — его контактов.

Как удалить свой номер из базы GetContact

Удалить свой номер из базы можно на официальном сайте приложения. Для этого нужно:

• открыть приложение и удалить аккаунт в разделе «О GetContact»;
• на сайте ввести номер телефона и нажать Unlist.

В течение 24 часов номер должны удалить из базы. Правда, это не поможет, если ваш знакомый скачает приложение и зарегистрирует аккаунт.

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.