Moskiewski Departament Informatyki wydał specjalną aplikację do śledzenia ruchów osób poddanych samokwarantannie lub samoizolacji. Aplikacja nie przetrwała długo w sieci, zanim jej twórcy usunęli ją z domeny publicznej. Niemniej jednak, eksperci mieli czas, aby ocenić wydane oprogramowanie i odkryli kilka interesujących cech. Stwierdzono na przykład, że pewien odsetek danych osobowych użytkowników, bez szyfrowania, był automatycznie przesyłany na serwer estońskiej firmy Identix.jeden.
Aplikacja, nazwana Social Monitor, była dostępna w Play Market w ostatnim tygodniu marca, ale zniknęła kilka dni później. Według informacji z zasobów Rozetked, niektórym informatykom udało się przeanalizować program i odkryli dziwną cechę – niektóre poufne informacje o użytkowniku były wysyłane za granicę (w szczególności do przedstawicielstwa estońskiej firmy) bez żadnego szyfrowania.
Uważa się, że twórcą Social Monitoring jest przedsiębiorstwo podległe moskiewskiemu DIT, zwane Państwowym Komitetem Miasta Informacji. Dane kontaktowe podane w aplikacji do otrzymywania opinii rzekomo należą do firmy o nazwie Wokka Lokka, z siedzibą w Kemerowie. Firma ta jest wymieniona jako wykonawca DTI i jest również odpowiedzialna za opracowanie aplikacji do śledzenia dzieci. Eksperci próbowali skontaktować się z właścicielem firmy Igorem Afanasjewem, aby uzyskać komentarz na temat ich nowego produktu, ale on przekierował zainteresowanych do rządu moskiewskiego w celu uzyskania wyjaśnień.
Warto zauważyć, że większość z tych, którym udało się dostać do aplikacji, nigdy nie była w stanie się w niej zarejestrować. Wśród głównych zarzutów potencjalnych klientów była nieuzasadniona ilość próśb aplikacji o wszelkiego rodzaju pozwolenia. Użytkownicy nie rozumieli, dlaczego aplikacja o bardzo ograniczonej funkcjonalności potrzebuje tych wszystkich uprawnień.
Za pośrednictwem Social Monitora możliwy był dostęp do portalu rządowego, na którym można było śledzić bieżące informacje na temat koronawirusa oraz nadawać sygnał SOS w przypadku zagrożenia. Aby użytkownik mógł być śledzony przez systemy monitoringu, przy rejestracji wymagane było jego zdjęcie; ponadto aplikacja umożliwiała generowanie kodów QR, wprowadzonych przez stołeczną administrację w celu monitorowania systemu samowykluczenia mieszkańców Moskwy i obwodu moskiewskiego.
Przy tak ograniczonej funkcjonalności, żądania dostępu obejmują prawie każde możliwe pozwolenie, od dostępu do wideo po odczyty z czujnika tętna i rozmowy telefoniczne. Do tego dochodziły oczywiste błędy w działaniu aplikacji. Na przykład niektóre dane były przekazywane otwartymi kanałami na zagraniczne serwery, co jest ogólnie niedopuszczalne w przypadku takich programów, a klucz dostępu do repozytorium usługi rozpoznawania twarzy był w domenie publicznej. Taka luka pozwala atakującym na podszywanie się pod informacje i wykorzystywanie danych osobowych użytkowników.
Eksperci IT ocenili Social Monitoring jako nie tylko wyjątkowo nieprofesjonalny, ale także potencjalnie niebezpieczny dla użytkowników.
Przy całkowitym braku ochrony danych osobowych aplikacja wykazała niedopuszczalne zainteresowanie poufnymi informacjami, żądając praktycznie wszystkich istniejących uprawnień dostępu.
Rząd w Warszawie zaprzecza, jakoby korzystał z zagranicznych serwerów do przechowywania otrzymanych informacji i twierdzi, że całe oprogramowanie jest zainstalowane wyłącznie w Rosji. W praktyce jednak nie ma dowodów na poparcie takich twierdzeń. Koszt opracowania aplikacji nie jest znany, ale pojawiły się informacje, że rząd moskiewski podpisał kilka kontraktów o wartości setek milionów złotychli z firmą Gaskar Integration (kolejny pomysł właściciela Wokka Lokka Igora Afanasjewa).
Czy można potwierdzić, że Rząd Moskwy rzeczywiście finansuje program szpiegowski?