Юристы: граждане не обязаны устанавливать «Социальный мониторинг» и платить необоснованные штрафы
Многие москвичи жалуются на получение штрафов, которые им выписало правительство Москвы по следящим данным из приложения «Социальный мониторинг», добровольно установленного на смартфон. Приложение отслеживает местонахождение пациентов, выход за разрешённый радиус по GPS-координатам, а также требует сделать селфи в течение часа, например, ночью. Затем по шаблону (автоматически?) выписывается штраф: 4000 руб. за по ч. 2 ст. 3.18.1 КоАП Москвы о «невыполнении гражданами требований нормативных актов, направленных на введение и обеспечение режима повышенной готовности».
Много историй с несправедливыми штрафами приводятся в материале издания «Важные истории». В facebook-группе «Оштрафованы за то, что заболели» 2200 участников, и там ещё больше таких историй, где гражданам приходит по 5, 13 или 18 штрафов на общую сумму до 72 тыс. руб.
В некоторых случаях граждан штрафуют просто за то, что они не установили приложение. Например, заболевшая ОРВИ инвалид I группы, профессор Университета дружбы народов Ирина Карабулатова, которая не может передвигаться по дому и не смогла установить приложение на старый телефон, получила два штрафа на 8 тыс. руб.
Глава Главконтроля Москвы Евгений Данчиков пообещал, что «все несправедливые штрафы», выписанные с помощью приложения «Социальный мониторинг», будут отменены. Уже отменены 468 «ночных штрафов». Настройки приложения изменили на запрос селфи только с 9:00 до 22:00.
В мэрии Москвы сообщили, что штрафы профессору были отменены, а за смартфоном она не обращалась.
В ДИТ Москвы признают «карательную» функцию приложения, но подчёркивают, что работа «нацелена исключительно на обеспечение безопасности людей», ведь пациент с COVID может заразить до 16 горожан. Руководитель департамента информационных технологий Эдуард Лысенко призвал граждан внимательно читать регламент, который они подписывают. По регламенту на то, чтобы сделать снимок, отводится один час после получения уведомления. Если человек подписал согласие на домашнее лечение, но не установил приложение, вышел из дома или вовремя не отреагировал на запрос, сообщение об этом направляется в Главконтроль Москвы, нарушителю выписывается штраф в 4000 руб. В регламенте также говорится, что нарушением может стать «зафиксированное местоположение гражданина за пределами более 50 м от установленного места изоляции».
«Точность сигнала в Москве достаточна для подтверждения нахождения в радиусе относительно указанного адреса», — сказал Лысенко.
В прокуратуре Москвы начали проверку информации от пенсионерки, которая в марте выехала во Владимирскую область, а в мае якобы получила два штрафа от мэрии о нарушении режима самоизоляции.
В мэрии заверили, что обжаловать штраф можно в течение 30 дней через портал правительства Москвы или в райсуде, послав материалы по почте. Для этого нужно приложить документы об отсутствии нарушений. Основанием для обжалования штрафов может являться и некорректная работа приложения.
Юристы подчёркивают, что граждане устанавливают приложение добровольно: КоАП РФ и Москвы предусматривают ответственность человека за «действие или бездействие», но предписания столичных властей не накладывают на горожан обязанность устанавливать «Социальный мониторинг», считает глава правозащитной организации «Открытая Россия» Анастасия Буракова: «Есть обязанность соблюдать изоляцию».
(увеличенное изображение)
«Даже в документах, где упоминается приложение, фигурирует лишь «согласие на обработку персональных данных», — поясняет юрист. — Непрописанное действие, которое обязан выполнить человек, не может образовать состав административного правонарушения».
UPD 26.05.2020 Глава президентского Совета по правам человека (СПЧ) Валерий Фадеев заявил, что нужно отменить все штрафы, выписанных москвичам за нарушение режима изоляции (ст. 3.18.1 КоАП Москвы) на основании данных приложения «Социальный мониторинг». Он уверен, что из-за сбоев приложение не справилось с возложенной задачей.
По состоянию на 25 мая 2020 года на сайте Мосгорсуда было зарегистрировано 1820 жалоб на штрафы по ст. 3.18.1 КоАП Москвы. Подавляющее большинство из них оспаривает ч. 2 («необеспечение режима самоизоляции») и ч. 4 («необеспечение самоизоляции с использованием транспортного средства») статьи.
По словам главы правозащитного проекта «Открытая Россия» Анастасии Бураковой, в отношении восьми ее доверителей административные дела заведены «за неустановку приложения и были квалифицированы по ч. 2 ст. 3.18.1 КоАП Москвы». При этом установка приложения «не является обязательной», пояснил глава правозащитного проекта «Апология протеста» Алексей Глухов. «Одновременно с подписанием постановления об изоляции люди автоматически подписывают обязательство об установке приложения, давая таким образом согласие на все в пользу властей, — говорит он. — Мы получаем десятки жалоб от людей, которые не установили приложение и были оштрафованы». Адвокат Оксана Опаренко предполагает, что штрафы «выписываются автоматически», если человек вовремя не информирует систему о своем местонахождении, так как не устанавливает приложение.
Глава президентского Совета по правам человека Валерий Фадеев сообщил, что работа «Социального мониторинга» станет одной из главных тем доклада СПЧ о решениях органов власти, направленных на борьбу с эпидемией коронавируса. Анализ эффективности таких решений планируется к публикации во второй половине июня.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Приложение «Социальный мониторинг»: как работает сервис. Какие штрафы считаются противоправными
Приложение «Социальный мониторинг» разработано для контроля над гражданами, которые обязаны находиться в самоизоляции из-за заражения коронавирусом. Программа разработана мэрией Москвы.
⚖ Законодательные нормы
Приложение «Социальный мониторинг» действует на территории отдельного субъекта (г. Москвы), поэтому опирается на муниципальные законы.
Требование о его установке для самоизолирующихся граждан содержится в указе мэра г. Москвы от 2020 года №12-УМ (пп. 12.4-12.5).
📲 Что такое приложение Социальный мониторинг и зачем оно нужно
Приложение «Социальный мониторинг» создано для контроля за самоизолирующимися гражданами и является одним из мероприятий по нераспространению коронавирусной инфекции.
Суть работы сервиса в следующем: человек, который проходит лечение от коронавируса дома, устанавливает данное приложение на смартфон. Ему предстоит регулярно делать свои фотографии дома, а программа передает его координаты. Это позволяет удостовериться, что человек находится дома и не создает рисков для распространения инфекции.
По статистике один заболевший может заразить до 16 человек. Именно поэтому своевременная изоляция инфицированного и сведение на нет его контактов настолько важны.
Помимо контролирующей функции, приложение также выполняет и карательную: нарушителей самоизоляции привлекают к штрафам и принудительной госпитализации.
📝 Данные, передаваемые пользователем, и их защита
Селфи и персональная информация от самоизолирующихся не передаются в открытый доступ и открыты для узкого круга специалистов из московского правительства. Перечень персональных данных, которые направляются сервису, определены согласием на получение надомной медицинской помощи и персональных данных. В их числе следующие сведения:
Все данные хранятся на серверах Департамента информационных технологий (ДИТ) в защищенной форме. Обработка персональных данных происходит в соответствии с законом 152-ФЗ «О персональных данных».
👉 Категории лиц, которым нужно установить сервис
Приложение «Социальный мониторинг» позволяет гражданам с легким течением заболевания оставаться в комфортных домашних условиях и избежать постоянных визитов правоохранителей для проверки их местонахождения.
Устанавливать приложение «Социальный мониторинг» должны следующие категории граждан:
К числу «подозрительных» на наличие коронавируса сегодня включают всех граждан с симптомами ОРВИ.
⚡ Кто предписывает устанавливать
Приложение «Социальный мониторинг» устанавливается пользователем на основании предписания врача, диагностировавшего коронавирус или ОРВИ.
Гражданину дают право подписать согласие на получение медицинской помощи и самоизоляцию либо отказаться от подписи и отправится на госпитализацию.
💡 В каких регионах используется
Приложение «Социальный мониторинг» действует на территории Москвы, где самая сложная ситуация с заболеваемостью коронавирусом. В российских регионах оно не внедрялось.
В мире также есть аналоги данного приложения: например, в Китае приложение Close Contact Detector позволяет удостовериться, что человек не находился в тесном контакте с зараженными. Информация из приложения открыта для третьих лиц.
В Польше действует приложение «Домашний карантин»: граждане его могут установить, как альтернативу регулярным проверкам их местонахождения полицией.
👇 Принцип работы
Приложение «Социальный мониторинг» действует на основе двух технологий: системы геолокации и распознавания лиц. В совокупности они позволяют определить, действительно ли человек находится на карантине в указанном месте по GPS-координатам.
Для отслеживания факта, что человек действительно остается дома, а не просто оставил телефон на столе и ушел гулять, приложение отправляет запросы на получение селфи в случайное время (через пуш-уведомления).
Селфи нужно отправить в течение часа после запроса приложения. Раньше такое требование могло поступить и ночью, но после многочисленных жалоб от граждан селфи могут запрашивать только в период с 9 утра до 22 вечера.
Как установить
Для установки приложения «Социальный мониторинг» оно бесплатно скачивается в AppStore или Google Play. Затем гражданину необходимо пройти регистрацию в телефоне:
✨ Обязательно ли устанавливать и когда это нужно сделать
Власти Москвы подчеркивают, что установка «Социального мониторинга» – это обязательная мера на период действия режима повышенной готовности. Но у тех, кто против установки, есть альтернатива: поехать в специализированное медицинское учреждение для прохождения лечения.
Приложение необходимо установить в течение 24 часов после получения предписания от врача, иначе пользователю грозят санкции. Штраф в размере 4000 р. выписывают лицам, которые расписались в документах и дали согласие на самоизоляцию, но затем не установили приложение в течение суток.
Мнение правоохранительных организаций по вопросу обязательной установки приложения расходится с позицией московских властей. Правоохранители заявляют, что граждане действительно обязаны соблюдать самоизоляцию. Но устанавливать какое-либо приложение могут по желанию и привлечение к ответственности за отсутствие программы на смартфоне – противозаконно.
⭐ Что делать, если нет смартфона
В практике работы сервиса был случай, когда лежачей больной с коронавирусом выписали два штрафа на 4000 р. за то, что она не смогла установить на свой телефон приложение. Значит ли это, что для граждан без смартфона ситуация безвыходная и им предстоит оплачивать штрафы?
Если у гражданина нет смартфона либо его телефон не поддерживает приложение, то такому гражданину городские власти предоставят смартфон на период лечения. После окончания самоизоляции аппарат предстоит вернуть.
Кстати, штрафы лежачему инвалиду после проверки аннулировали.
❌ Когда можно удалить
После истечения срока обязательного карантина или полного выздоровления приложение беспрепятственно удаляется. На возможность удаления программы с телефона указывают пояснения мэрии.
Дату удаления приложения можно уточнить в предписании о соблюдении карантина.
❗ Ответственность за нарушение режима и отправки необходимых сведений
Если гражданина заподозрят в нарушении режима самоизоляции, то ему грозит штраф. Ответственность предусмотрена в Административном кодексе Москвы. Штрафные санкции, согласно ч. 2 ст. 3.18.1, составляют 4000 р.
Наказание грозит в следующих случаях:
Избежать ответственности можно, если лицу срочно потребовалась медицинская помощь: госпитализация или компьютерная томография (КТ). Сообщать об обращении к специалистам не нужно: к городским службам такие данные поступят по каналам межведомственного обмена.
Неболеющему родственнику лица с ОРВИ (не с подтвержденным коронавирусом, а с признаками инфекционного заболевания) разрешено ненадолго покидать квартиру: выгулять собаку, сходить в ближайший магазин или аптеку. Но если он сильно отдалится от дома, что зафиксирует смартфон, то получит штраф.
Согласно позиции Верховного суда, привлекать граждан к ответственности за нарушение местных законов о самоизоляции нужно на основании ст. 20.6.1 федерального Кодекса об административных правонарушениях (КоАП), а не местного КоАП Москвы.
Кодексы отличаются порядком применения ответственности:
Применение федерального КоАП будет более выгодным, так как в его рамках можно получить не реальный денежный штраф, а только предупреждение. Также к рассмотрению вопроса будут привлекаться суды, что сделает решения о привлечении к ответственности более обоснованными.
🔔 Что делать в случае, если режим не был нарушен, а штраф все же пришел
За время действия приложения пользователи неоднократно жаловались на некорректно выписанные штрафы в их адрес. Например, люди не покидали своего дома и регулярно отправляли селфи, но все равно получали уведомления о штрафах.
По отзывам пользователей, среди распространенных причин необоснованного привлечения к административной ответственности можно выделить такие:
Совокупная сумма штрафов в период пользования приложением на одного человека могла превышать 70000 р.
Некоторое время граждане были лишены возможности обжаловать факт привлечения к административной ответственности, так как работа судебной системы была фактически парализована. Сегодня можно пожаловаться на незаконные штрафы дистанционно. Но даже если гражданин не успел пожаловаться на выписанные санкции из-за коронавирусных ограничений, то сроки для передачи заявления можно восстановить.
О том, что лицо привлекли к административной ответственности за нарушение режима самоизоляции, можно узнать из информации на портале Госуслуги или mos.ru. Обжалование незаконных штрафов допускается в судебном порядке или онлайн на специальном ресурсе от Правительства Москвы.
Дистанционная передача жалоб позволяет гражданам без нарушения самоизоляции отстаивать свои права.
В онлайн-жалобе необходимо кратко обрисовать ситуацию и аргументировать свою позицию: почему гражданин считает штрафы противозаконными и почему их необходимо аннулировать. К тексту прилагаются подтверждающие документы (их комплект будет зависеть от специфики ситуации):
Московские власти пообещали аннулировать все противоправные штрафы. В частности, уже было отменено около 500 «ночных штрафов» (за отсутствие селфи в период с 10 вечера).
Если гражданин добросовестно соблюдал режим самоизоляции, но получил штраф по причине сбоя в работе приложения или по иным причинам, его можно обжаловать через суд. Порядок обжалования, сроки и наименование суда для подачи жалобы указываются в постановлении о привлечении к административной ответственности.
В тексте жалобы для защиты своей позиции можно указать на следующие обстоятельства:
По состоянию на конец мая в Мосгорсуд поступило 1820 жалоб на выписанные штрафы в приложении «Социальный мониторинг».
👍 Плюсы и минусы сервиса. Нарушаются ли гражданские права?
Преимуществами реализации проекта «Социальный мониторинг» являются:
Хотя идея приложения достаточно хорошая, на практике его реализация столкнулась с рядом недостатков. Минусами работы приложения являются:
Многие граждане испытывают серьезный психологический дискомфорт, опасаясь пропустить отправку селфи, и целый день проводят на «телефоне».
Что касается правомерности внедрения подобного приложения, то это вопрос спорный:
Также неоднозначна позиция по вопросу обязательной установки приложения. С учетом конституционных норм человек может как согласиться на работу с приложением, так и отказаться от него. Таким правом наделяет его ст. 51 Конституции. Здесь сказано, что человек не обязан свидетельствовать против себя. Отправку селфи можно рассматривать, как такое свидетельство, потому что оно может быть только добровольным.
Избежать не удалось или как почувствовать себя узником, даже если ты сам не болеешь ковидом. Подробно обо всем и о разных проблемах, которые с ним были.
Сегодня я наконец-то удалила это приложение из своего телефона и по горячим следам хочу написать свой отзыв о моем опыте его использования.
Вот на самом деле я что-то отдаленно слышала про этот социальный мониторинг, но ничего точно не знала, вроде какие-то штрафы там были, но все как-то мимо меня это проходило, никто из моих друзей и знакомых через это не проходил, поэтому не интересовалась и не знала в чем там кроется опасность. Но врач нормальная, сказала, что вы можете отказаться, прямо на этих документах мы и написали сверху ручкой отказ, подписали, она забрала. Но, конечно, мы не собирались нарушать режим, ходить гулять или за покупками, я только спросила о том, как мусор то выбрасывать, она сказала, что можно вечерком выйти выкинуть, это не нарушение. Ну и все.
На следующий день пришли результаты ПЦР, у меня отрицательный. Как я и ожидала, т.к. никаких симптомов не было. Ребенку вызвала врача на следующий день, т.к. вызывать можно только до 14.00. Педиатр пришел другой, сделал ПЦР тест, осмотрел, сказал, что вероятность ковида в такой ситуации 100%, ну мы и сами это понимали. И вот на следующий день (через 2 дня после того, как мужу поставили ковид) пришел положительный мазок. Сначала мне пришло смс, потом звонок Роспотребнадзора, и потом звонок из поликлиники. В течение дня пришел педиатр, опять с кучей бумаг, опять карантин 14 дней, но уже с даты анализа ребенка. Т.е. реально вместо 14 дней получается 16. Я считаюсь, как контактное лицо, мне тоже карантин, т.к. я могу быть опасной для окружающих.
Ну и вот дошли до приложения наконец-то. Но хотелось описать все, чтобы было понятно как происходит это сейчас в июне-июле 2021 года в Москве.
Сначала мне стали поступать смс, требующие установить приложение.
Ну делать было нечего. Сдалась. Скачала приложение. Скажу честно, хотела там немного подинамить, говорить, что не работает, лагает и т.д., но все прекрасно работает, скачалось быстро, регистрация быстрая, никаких проблем. Наверно сейчас уже все наладили.
К моменту моего использования приложения я уже (благодаря нашему любимому irecommend) ознакомилась по отзывам и знала, что ожидать. Несколько раз в день в разное время приходят смс о том, что необходимо пройти идентификацию.
Геолокация вообще постоянно передается в фоновом режиме. Об этом все время идут оповещения.
У меня время было в начале всегда примерно одинаковое: в 12, 14, 16, 18. Только каждый день в разные минуты, т.е. то в 12.10, то в 12.30, то в 12.45, но в целом предугадать интервалы было несложно. Я очень оперативно реагировала, особенно после одного случая, когда чуть не упустила, там дается 1 час на то, чтобы отправить селфи, а я что-то была чем-то занята и совершенно случайно увидела, что есть сообщение и там прошло 50 минут уже, просто на грани фола для меня. После этого случая стала просто ждать смс и потом спокойно уже делать свои дела. После 4-5 дней я заметила, что мне стали поступать смс уже не 4 раза в день, а 3.
Главный экран приложения обычно выглядит так
Самый неприятный момент у меня случился буквально на второй день работы этого приложения, когда я еще не поняла логику этих проверок и реально думала, что будут они совсем в разное время присылать эти смс, что надо прям телефон при себе 24/7 носить. Вечером мой телефон заглючил так, как никогда. Экран позеленел и телефон просто не реагировал ни на что, даже выключить или перезагрузить его не удавалось. Ставила на зарядку, тоже ничего не давало. Он был горячеватый, вынула из чехла и каждые 20-30 минут совершала новые попытки как-то его реанимировать, но все тщетно. Начала переживать, что же буду делать утром, когда не смогу ничего отправить. Было уже за полночь, надо было ложиться спать, легла с этими мыслями и буквально всю ночь не могла уснуть. Сама себя накрутила этим, распереживалась, что получу кучу штрафов. Ночью родились всякие идеи что можно сделать. Звонить утром и пытаться просить, чтобы привезли мне телефон (у них на сайте сказано, что эта опция есть для тех, у кого телефон или старый, или неисправен). Потом думала, как буду доказывать в суде по штрафам, что не придумала, а все было на самом деле, родился ночной план: утром записать не телефон мужа видео с тем, как телефон себя ведет, что зеленый экран, ничего не работает. И вот в таком бреду я провела всю ночь, периодически с надеждой проверяя телефон. который по-прежнему не подавал признаков вменяемости. Но утром случилось чудо, я проснулась уже ближе к 9 после всех этих переживаний, взяла в руки телефон и он работал в обычном режиме. Как такое может быть? Я до сих пор не понимаю, что это было, т.к. подобное со мной вообще случилось впервые. Телефон Самсунг. Но после уже через пару дней прочла в соц.сетях, что люди жаловались на то, что это приложение испортило им телефоны, там про айфоны писали, но тем не менее, я все же списываю этот глюк именно на приложение. Больше не на что. Но к счастью это не повторилось больше. Все равно решила написать, может кому-то это пригодится, если бы я прочла такое ранее, то может не так бы сильно переживала.
Еще у меня постоянно была мысль сделать им фото с гневным лицом, показать язык или что-то еще, но до реализации не дошла, т.к. в один момент делала селфи и ребенок влез в кадр, так фото отклонили, не прошло проверку, стала переделывать, ребенок уже бы не в центре, а просто на фоне и опять фото не прошло проверку, меня это обеспокоило, подумала, что вот сейчас 3 раза отклонят и штраф пришлют (на самом деле не читала внимательно сколько раз это допустимо, но страх о прочитанных штрафах постоянно был в моей голове), ушла в другое место и переделала фото. То же самое думаю может быть и если что-нибудь на фото будет не уместное, поэтому не стала экспериментировать.
Отмечу еще психологический момент от этого приложения. Есть какое-то ощущение, что ты какой-то преступник, что за тобой следят, проверяют и т.д. Это все понятно, что только мысли, но и не думать так не получается. Мне как-то обидно за то, что я вот вынуждена как-будто доказывать, что я нормальный человек и не пойду налево и направо всех заражать, а буду на изоляции. Я понимаю, что в масштабах страны и города за каждого нельзя быть уверенным и эта мера чем-то там регламентирована, но вот лично про себя мне это неприятно, я не заслуживаю такого отношения к себе 
Ну это так тоже, мысли вслух.
Поэтому рекомендовать такое приложение не хочу никому, да и желаю, чтобы не пришлось иметь с ним дело, ну а если не получится избежать, то надо просто спокойней относиться, как к тому, что мухи иногда залетают в дом, ну бывает, ну немного погоняешь и вылетит, так и тут, 2 недели карантина хоть и казались вечностью, но закончились.
Сегодня пообщалась с коллегами, послушала еще историй, как кому-то штрафы приходили спустя пару месяцев. Надеюсь, меня это обойдет стороной, все соблюдала, но тут никто не застрахован, конечно.
Мониторим мониторинг. Что внутри у приложения для изоляции на дому
Содержание статьи
Итак, последняя версия приложения — 1.4.1. Разработчик приложения — Департамент информационных технологий города Москвы. Существуют версии для Android и iOS. По данным из Google Play, на текущий момент приложение установлено более чем у 50 тысяч пользователей. Обещано, что если ваш телефон не поддерживает его, то в теории вам должен быть предоставлен аппарат с уже установленным приложением. На практике, конечно, такое случается далеко не всегда и не сразу.
На сайте мэра Москвы заявлено, что «приложение при авторизации просит подтвердить номер телефона и сделать фотографию лица, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления». С виду это действительно так, а если проигнорировать запрос на фото или выйти за пределы квартиры, будет автоматически выписан штраф. Если отказаться от установки, то принудительно поместят в обсерватор или больницу. Если удалить приложение после установки и регистрации, то будут присылать штрафы.
Конечно, ставить что-либо на свой телефон по чьему-то требованию мне не хотелось, но раз уж я был к этому принужден весьма незамысловатым способом, то надо хотя бы проверить, действительно ли приложение выполняет только заявленные функции, или там есть что-то еще.
Итак, поехали. Сразу скажу — я не гуру реверса, так что мог чего-то не заметить. Если обнаружишь что-то новое, обязательно поделись находкой в комментариях.
Смотрим трафик
Первым делом я решил проверить трафик с помощью приложения Fiddler, однако тут меня ждало разочарование. «Социальный мониторинг» устанавливает шифрованное соединение (HTTPS) с сервером mos.ru, а что там происходит дальше — так просто не понять, нужно или рутовать телефон, или пересобирать приложение. Но на рутованном аппарате приложение не работает, а пересобирать его я не рискнул, слишком высока цена ошибки — 4000 рублей за каждый пропущенный запрос на фотографию. А вдруг этот запрос придет как раз в тот момент, когда я буду с трафиком разбираться.
С помощью Fiddler и logcat удалось выяснить только то, что приложение раз в пять минут что-то отправляет на mos.ru. Что ж, придется декомпилировать и ковыряться в коде.
Декомпилируем приложение
Для декомпиляции я использовал программу JEB версии 3.17.1 производства PNF Software. На мой взгляд, это одно из лучших приложений для исследования APK, единственный его недостаток — высокая стоимость.
Приложение подписано сертификатом, сгенерированным 17 апреля 2020 года, и почему-то указан город Самара. Интересно, при чем тут Самара?
Первым делом смотрим, что в манифесте.
Версия программы — 1.4.1, имя пакета — ru.mos.socmon.
Приложение запрашивает следующие разрешения: доступ к координатам, в том числе и фоновый, доступ к камере, к интернету, состоянию сети, состоянию и изменению Wi-Fi, возможность запускать неубиваемые сервисы и добавление в список исключений оптимизации батареи (чтобы ОС не заставляла приложение экономить энергию), а также чтение и запись данных на карте памяти. Ну что же, уже неплохо — намеков на недекларированные функции пока не видно. Контакты, журнал звонков, SMS и прочее вроде не просят. Будем смотреть дальше.
Дальше видим, что приложение весьма обфусцировано. Конечно, это осложняет анализ, но попробуем.
Прежде чем погружаться в дебри кода, окинем взглядом используемые приложением нативные библиотеки, а именно:
Беглый анализ показал, что, помимо обфусцированного кода и почти стандартных OkHttp 3, Retrofit 2 и Crashlytics, приложение использует компоненты com.redmadrobot.inputmask.helper и com.scottyab.rootbeer.
Первый компонент особого интереса не представляет, он используется для проверки ввода телефонного номера при регистрации приложения. Rootbeer же как раз проверяет «рутованность» используемого устройства: ищет определенные приложения, бинарный файл su или компоненты BusyBox.
Все, дальше вроде тянуть уже некуда, надо смотреть код. Я не буду утомлять читателя скрупулезным и занудным описанием алгоритма, тем более что из-за обфускации кода пришлось бы часто использовать слова «вероятно», «похоже» и «судя по всему», и просто расскажу своими словами.
При запуске приложение достает из настроек адрес сервера для отправки данных, интервал для отправки координат и интервал для сбора и отправки телеметрии (отметим, что эти значения можно изменить по команде с сервера). Затем проверяет наличие необходимых для работы разрешений и, если нужно, запрашивает их, а также выводит запрос на добавление в «белый список» энергосбережения, чтобы ОС не мешала работать в фоновом режиме.
Также проверяется (с помощью акселерометра), держит ли пользователь устройство в руках.
В приложении есть три основных сервиса:
Приложение периодически (в моем случае раз в пять минут, но это значение может быть изменено сервером) получает координаты и телеметрию, отправляет их на сервер, а также ждет запроса на фото. Если запрос на фото пришел, то выводится уведомление и подается звуковой сигнал. Кстати, когда пользователь делает фотографию, устройство автоматически ищет лицо в области предпросмотра (см. выше про libface_detector). Пока лицо не будет найдено, фотографию отправить не получится.
В интернете попадалась информация, что у пользователя есть один час с прихода уведомления, чтобы сделать фото. В коде я никаких подтверждений этому не нашел. Если отсчет времени ведется, то это, надо думать, происходит на сервере.
Посмотрим подробнее, какие именно данные приложение отправляет на сервер.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
