CamScanner от вредоносного кода скорее всего безопасен сегодня, но компромиссы по приватности существенны: документы загружаются на серверы под китайской юрисдикцией данных, встраиваются рекламные SDK, собирающие информацию об устройстве, и для полного функционала требуется аккаунт, привязывающий ваши действия к постоянному профилю. Инцидент 2019 года с Trojan-Dropper, найденным Kaspersky Lab, был устранён, но структурные опасения остаются. Эта статья излагает публичные факты, объясняет компромиссы и оставляет выводы за вами.
Прежде чем начать: мы делаем ScanLens, конкурирующий сканер, поэтому очевидно заинтересованы. Мы старались держать материал фактичным и честным. Всё цитируемое ниже — из публичных источников: исследования Kaspersky Lab, материалы Forbes и The Verge, опубликованная политика конфиденциальности CamScanner. Мы не делаем заявлений сверх публичной записи.
Что такое CamScanner?
CamScanner — приложение для сканирования документов от INTSIG Information Co., Ltd., компании со штаб-квартирой в Шанхае, Китай. Доступно на Android и iOS более десяти лет и одно из самых скачиваемых сканеров в мире. Включает сканирование документов, OCR, облачное хранение, конвертацию PDF и обмен документами.
Приложение работает по freemium-модели — реклама в бесплатном тарифе и Premium-подписка, которая её снимает и открывает дополнительные функции. CamScanner требует создать аккаунт для полного набора функций, отсканированные документы синхронизируются на облачные серверы CamScanner.
Долгие годы CamScanner был очевидной рекомендацией для всех, кому нужно было сканировать документы с телефона. Это изменилось в августе 2019 года.
Инцидент с вредоносным кодом 2019 года
В августе 2019 исследователи Kaspersky Lab — одной из самых известных компаний по кибербезопасности в мире — обнаружили вредоносный код внутри Android-версии CamScanner. Конкретно: компонент Trojan-Dropper (Trojan-Dropper.AndroidOS.Necro.n), встроенный в стороннюю рекламную библиотеку, которую CamScanner интегрировала в приложение.
Trojan-Dropper мог скачивать и запускать дополнительный вредоносный код на устройстве пользователя. По анализу Kaspersky, вредоносный модуль мог показывать навязчивую рекламу, подписывать пользователей на платные сервисы без их ведома и исполнять произвольный код, поступающий с удалённых серверов. Находка была настолько серьёзной, что Google убрал CamScanner из Play Store. История была освещена Forbes, The Verge, ZDNet и многими другими технологическими изданиями.
Для многих пользователей это был первый случай, когда массовое, высокорейтинговое продуктивное приложение оказалось носителем по сути вредоносного кода — не из-за взлома, а из-за стороннего SDK, который разработчик решил включить.
Что было дальше
Если быть честным к INTSIG, компания отреагировала. CamScanner убрал виновный рекламный SDK, выпустил обновлённую версию приложения и в итоге был восстановлен в Google Play Store. INTSIG приписал проблему сторонней рекламной библиотеке, а не собственному коду — что правдоподобно: такой supply-chain-компромисс через рекламные SDK — известный риск мобильной экосистемы, и другие приложения сталкивались с похожими проблемами.
Приложение доступно в обоих основных магазинах после устранения инцидента. Публичных повторов конкретно этой проблемы не было. Это стоит признать. Инцидент 2019 года не означал, что разработчики CamScanner намеренно распространяли вредоносный код. Он означал, что рекламный SDK, выбранный для монетизации приложения, привнёс серьёзную уязвимость безопасности. Вопрос — что это говорит о компромиссах в бизнес-модели приложения.
Юрисдикция данных: что значит китайская привязка
Отдельно от инцидента 2019 года, CamScanner поднимает другой вопрос приватности, никак не связанный с багами или плохим кодом. INTSIG имеет штаб-квартиру в Шанхае и, как все компании, работающие в Китае, подчиняется китайским законам о данных.
Рамка регулирования данных в Китае — включая Закон о кибербезопасности (2017), Закон о безопасности данных (2021) и Закон о защите персональной информации (2021) — даёт правительству Китая широкие полномочия по доступу к данным, хранящимся компаниями в его юрисдикции. Это не предположение и не редакторский комментарий, это текст законов.
Когда вы сканируете документ через CamScanner, и документ загружается на облачные серверы CamScanner, данные находятся в инфраструктуре, управляемой компанией под китайской юрисдикцией. Воспользовалось ли китайское правительство своими полномочиями для доступа к данным пользователей CamScanner — публично не известно. Но юридическая рамка для такого доступа существует.
Для некоторых пользователей — особенно тех, кто сканирует личные финансовые документы, юридические записи, медицинскую информацию или бизнес-контракты — этот юрисдикционный вопрос важнее любого прошлого инцидента с вредоносным кодом. Вредоносный код был исправляемым багом. Юрисдикция структурна.
Это не уникально для CamScanner. Любое приложение, эксплуатируемое компанией под любой юрисдикцией, подчиняется законам этой страны о доступе к данным. Вопрос — комфортна ли вам конкретная юрисдикция, учитывая конкретную чувствительность того, что вы сканируете.
Что говорит политика конфиденциальности CamScanner
Политика конфиденциальности CamScanner, публично доступная на их сайте, описывает стандартный набор практик: сбор пользовательских данных через регистрацию аккаунта, аналитику использования приложения, хранение отсканированных документов на облачных серверах для синхронизации, и сторонних аналитических партнёров, помогающих оценивать поведение пользователей.
В частности, политика отмечает, что данные могут передаваться внутри корпоративной структуры INTSIG, включая инфраструктуру в Китае, и что компания соблюдает применимые законы о доступе к данным в своей юрисдикции. Это стандартный язык для облачного приложения — но он отличается от модели обработки полностью на устройстве, где политика конфиденциальности про обработку документов сводится к одной строке: документы не покидают ваш телефон.
Что вместо этого предлагают приватные альтернативы
Если приватность — приоритет, есть несколько структурных подходов, которые предлагают сканеры с фокусом на приватность:
- OCR на устройстве. Текстовое распознавание выполняется на телефоне через Apple Vision или аналогичные локальные движки, без загрузки документа на удалённый сервер. ScanLens, например, использует Apple Vision на iPhone — документы не уходят ни в какое облако в процессе OCR.
- Без обязательного аккаунта. Установка и использование без регистрации, без привязки активности сканирования к постоянному профилю.
- Без рекламы. Сканер, не финансируемый рекламой — нет рекламных SDK, которые могли бы стать источником проблем будущего «AdHub-инцидента».
- Свои облака для синхронизации. Если облако нужно — это ваш iCloud, Google Drive, Dropbox или OneDrive, не проприетарный CamScanner Cloud.
- Юрисдикция дома. Документы остаются на вашем устройстве в вашей стране, под вашими законами.
Это структурные различия, не маркетинговые. Они отвечают на тот же базовый вопрос — где находятся ваши документы и кто к ним имеет доступ — другим архитектурным решением.
Резюме
Безопасен ли CamScanner сегодня? От вредоносного кода — скорее всего да, и инцидент 2019 года не повторялся. Но «вредоносного кода нет» — это не то же самое, что «приватный». Бизнес-модель — облачная обработка, рекламные SDK в бесплатном тарифе, обязательный аккаунт, юрисдикция КНР — означает, что ваши документы видят больше людей и систем, чем при модели обработки на устройстве. Для документов с низкой чувствительностью это нормально. Для документов высокой чувствительности — стоит подумать о структурно более приватной альтернативе.
Если вы считаете, что приватность стоит того, чтобы сменить инструмент, посмотрите на сравнение ScanLens vs CamScanner — там детальные таблицы и разбор цен. Или начните с главной ScanLens: бесплатно скачать, без аккаунта, OCR на устройстве.