Google блокира приложения, включващи таен софтуер за събиране на данни

Google е блокирала десетки приложения в своя магазин Google Play, след като е установила, че включват софтуерен елемент, който тайно събира данни, пише Wall Street Journal.

Панамската компания Measurement Systems, която е написала кода, е свързана чрез корпоративни записи и уеб регистрации с контрактор в сферата на отбраната от Вирджиния. Той е извършвал работа по киберразузнаване, пробиви в мрежова защита и разузнаване за агенциите за национална сигурност на САЩ.

Кодът е работил на милиони устройства с операционната система Android и е открит в няколко мюсюлмански молитвени приложения, които са били изтеглени над 10 млн. пъти, както и в приложение за откриване на полицейски камери по пътищата, в приложение за разчитане на QR кодове и редица популярни потребителски приложения, твърдят двама изследователи, които са открили поведението на кода в хода на одитната си работа, в която търсят уязвимости в приложения за Android. Те са споделили откритото с Google, федералните регулатори, отговарящи за поверителността на данните, както и с Wall Street Journal.

Measurement Systems е платила на разработчици по целия свят да вградят кода, известен като пакет за софтуерна разработка, или SDK, в своите приложения, твърдят разработчици. Неговото присъствие е позволило на панамската компания тайно да събира данни от техните потребители, твърдят Серж Егелман, изследовател от Международния инситут по компютърни науки и Университета на Калифорния, Бъркли, и Джоел Риърдън от Университета на Калгари.

Модерните приложения често включват SDK, написан от малко известни компании като Measurement Systems, и обичайно „не са проверявани или добре разбирани“, посочва Егелман. Вграждането на такива кодове често е примамливо за разработчиците на приложения, които генерират печалба, както и подробни данни за тяхната потребителска база.

„Тази сага продължава да подчертава важността на това да не приемате бонбони от непознати“, допълва Егелман.

Двамата мъже, които са и съоснователи на компанията AppCensus, смятат софтуера за най-нарушаващия поверителността SDK, който са виждали през шестте години, в които проучват мобилни приложения. Това „без съмнение може да бъде описано като зловреден софтуер“, коментира Егелман.

Measurement Systems е казала на разработчиците, че иска данни предимно от Близкия изток, Централна и Източна Европа, както и от Азия, сочат документи, разгледани от Wall Street Journal. Това е необичайна заявка, защото американските и западноевропейските данни обичайно имат най-високи цени сред брокерите. Няколко разработчици твърдят, че Measurement Systems е изискала от тях да подпишат споразумения за конфиденциалност.

Проблемният софтуер на компанията е ползван в други популярни приложения за Android, включително такива, показващи времето, сканиращи QR кодове и т.н. SDK събира големи обеми от данни за всеки потребители, сред които точна локация, имейл, телефонни номера, както и информация за близки компютри и мобилни устройства.