CamScanner від шкідливого коду найімовірніше безпечний сьогодні, але компроміси щодо приватності суттєві: документи завантажуються на сервери під китайською юрисдикцією даних, вбудовуються рекламні SDK, що збирають інформацію про пристрій, і для повного функціоналу потрібен обліковий запис, що прив'язує ваші дії до постійного профілю. Інцидент 2019 року з Trojan-Dropper, виявленим Kaspersky Lab, був усунений, але структурні занепокоєння залишаються. Ця стаття викладає публічні факти, пояснює компроміси та залишає висновки за вами.
Перш ніж почати: ми створюємо ScanLens, конкурентний сканер, тож очевидно зацікавлені. Ми намагалися тримати матеріал фактичним і чесним. Усе цитоване нижче — з публічних джерел: дослідження Kaspersky Lab, матеріали Forbes і The Verge, опублікована політика конфіденційності CamScanner. Ми не робимо тверджень понад публічний запис.
Що таке CamScanner?
CamScanner — застосунок для сканування документів від INTSIG Information Co., Ltd., компанії зі штаб-квартирою в Шанхаї, Китай. Доступний на Android та iOS понад десять років і один із найбільш завантажуваних сканерів у світі. Включає сканування документів, OCR, хмарне сховище, конвертацію PDF та обмін документами.
Застосунок працює за freemium-моделлю — реклама в безкоштовному тарифі та Premium-підписка, яка її прибирає й відкриває додаткові функції. CamScanner вимагає створити обліковий запис для повного набору функцій, відскановані документи синхронізуються на хмарні сервери CamScanner.
Довгі роки CamScanner був очевидною рекомендацією для всіх, кому потрібно було сканувати документи з телефона. Це змінилося в серпні 2019 року.
Інцидент зі шкідливим кодом 2019 року
У серпні 2019 року дослідники Kaspersky Lab — однієї з найвідоміших компаній з кібербезпеки у світі — виявили шкідливий код всередині Android-версії CamScanner. Конкретно: компонент Trojan-Dropper (Trojan-Dropper.AndroidOS.Necro.n), вбудований у сторонню рекламну бібліотеку, яку CamScanner інтегрувала в застосунок.
Trojan-Dropper міг завантажувати й запускати додатковий шкідливий код на пристрої користувача. За аналізом Kaspersky, шкідливий модуль міг показувати нав'язливу рекламу, підписувати користувачів на платні сервіси без їхнього відома й виконувати довільний код, що надходить із віддалених серверів. Знахідка була настільки серйозною, що Google прибрав CamScanner із Play Store. Історію висвітлили Forbes, The Verge, ZDNet та багато інших технологічних видань.
Для багатьох користувачів це був перший випадок, коли масовий, високорейтинговий продуктивний застосунок виявився носієм по суті шкідливого коду — не через злам, а через сторонній SDK, який розробник вирішив включити.
Що було далі
Якщо бути чесним до INTSIG, компанія відреагувала. CamScanner прибрав винний рекламний SDK, випустив оновлену версію застосунку і врешті був відновлений у Google Play Store. INTSIG приписав проблему сторонній рекламній бібліотеці, а не власному коду — що правдоподібно: такий supply-chain-компроміс через рекламні SDK — відомий ризик мобільної екосистеми, і інші застосунки стикалися з подібними проблемами.
Застосунок доступний в обох основних магазинах після усунення інциденту. Публічних повторів конкретно цієї проблеми не було. Це варто визнати. Інцидент 2019 року не означав, що розробники CamScanner навмисно поширювали шкідливий код. Він означав, що рекламний SDK, обраний для монетизації застосунку, привніс серйозну вразливість безпеки. Питання — що це говорить про компроміси в бізнес-моделі застосунку.
Юрисдикція даних: що означає китайська прив'язка
Окремо від інциденту 2019 року, CamScanner порушує інше питання приватності, ніяк не пов'язане з багами чи поганим кодом. INTSIG має штаб-квартиру в Шанхаї і, як усі компанії, що працюють у Китаї, підпорядковується китайським законам про дані.
Регуляторна рамка даних у Китаї — включно із Законом про кібербезпеку (2017), Законом про безпеку даних (2021) та Законом про захист персональної інформації (2021) — дає урядові Китаю широкі повноваження щодо доступу до даних, що зберігаються компаніями у його юрисдикції. Це не припущення й не редакторський коментар, це текст законів.
Коли ви скануєте документ через CamScanner, і документ завантажується на хмарні сервери CamScanner, дані перебувають в інфраструктурі, керованій компанією під китайською юрисдикцією. Чи скористався китайський уряд своїми повноваженнями для доступу до даних користувачів CamScanner — публічно невідомо. Але юридична рамка для такого доступу існує.
Для деяких користувачів — особливо тих, хто сканує особисті фінансові документи, юридичні записи, медичну інформацію чи бізнес-контракти — це юрисдикційне питання важливіше за будь-який минулий інцидент зі шкідливим кодом. Шкідливий код був виправним багом. Юрисдикція структурна.
Це не унікально для CamScanner. Будь-який застосунок, що експлуатується компанією під будь-якою юрисдикцією, підпорядковується законам цієї країни про доступ до даних. Питання — чи комфортна вам конкретна юрисдикція, з огляду на конкретну чутливість того, що ви скануєте.
Що каже політика конфіденційності CamScanner
Політика конфіденційності CamScanner, публічно доступна на їхньому сайті, описує стандартний набір практик: збір користувацьких даних через реєстрацію облікового запису, аналітику використання застосунку, зберігання відсканованих документів на хмарних серверах для синхронізації та сторонніх аналітичних партнерів, що допомагають оцінювати поведінку користувачів.
Зокрема, політика зазначає, що дані можуть передаватися всередині корпоративної структури INTSIG, включно з інфраструктурою у Китаї, і що компанія дотримується застосовних законів про доступ до даних у своїй юрисдикції. Це стандартна мова для хмарного застосунку — але вона відрізняється від моделі обробки повністю на пристрої, де політика конфіденційності щодо обробки документів зводиться до одного рядка: документи не залишають ваш телефон.
Що натомість пропонують приватні альтернативи
Якщо приватність — пріоритет, є кілька структурних підходів, які пропонують сканери з фокусом на приватність:
- OCR на пристрої. Розпізнавання тексту виконується на телефоні через Apple Vision або аналогічні локальні рушії, без завантаження документа на віддалений сервер. ScanLens, наприклад, використовує Apple Vision на iPhone — документи не йдуть у жодну хмару в процесі OCR.
- Без обов'язкового облікового запису. Встановлення й використання без реєстрації, без прив'язки активності сканування до постійного профілю.
- Без реклами. Сканер, що не фінансується рекламою — немає рекламних SDK, які могли б стати джерелом проблем майбутнього «AdHub-інциденту».
- Власні хмари для синхронізації. Якщо хмара потрібна — це ваш iCloud, Google Drive, Dropbox чи OneDrive, не пропрієтарний CamScanner Cloud.
- Юрисдикція вдома. Документи залишаються на вашому пристрої у вашій країні, під вашими законами.
Це структурні відмінності, не маркетингові. Вони відповідають на те саме базове питання — де перебувають ваші документи й хто до них має доступ — іншим архітектурним рішенням.
Резюме
Чи безпечний CamScanner сьогодні? Від шкідливого коду — найімовірніше так, і інцидент 2019 року не повторювався. Але «шкідливого коду немає» — це не те саме, що «приватний». Бізнес-модель — хмарна обробка, рекламні SDK у безкоштовному тарифі, обов'язковий обліковий запис, юрисдикція КНР — означає, що ваші документи бачать більше людей і систем, ніж за моделі обробки на пристрої. Для документів із низькою чутливістю це нормально. Для документів високої чутливості — варто подумати про структурно більш приватну альтернативу.
Якщо ви вважаєте, що приватність варта того, щоб змінити інструмент, погляньте на порівняння ScanLens vs CamScanner — там детальні таблиці й розбір цін. Або почніть з головної ScanLens: безкоштовно завантажити, без облікового запису, OCR на пристрої.