Google удалил приложения с кодом для сбора данных о 60 млн пользователей Android
Google обнаружил и удалил из своего магазина приложений те из них, что содержали скрытое программное обеспечение для сбора данных. Приложения работали на десятках миллионов устройств Android в мире. Разработчиком кода для тайного сбора данных была панамская компания, связанная с подрядчиком в США, работающим на американские спецслужбы, выяснила WSJ
Google удалила десятки приложений из магазина Google Play после того, как выяснилось, что они содержат программный элемент, который тайно собирает данные. Приложения с секретным кодом работали на десятках миллионов смартфонов с операционной системой Android, пишет The Wall Street Journal со ссылкой на исследовательский отчет Сержа Эгельмана из Международного института компьютерных наук и Калифорнийского университета в Беркли и Джоэла Рирдона из Университета Калгари.
Эгельман и Рирдон — соучредители компании AppCensus, которая изучает безопасность и конфиденциальность приложений. По их оценке, обнаруженный код — самый инвазивный SDK, который они видели за шесть лет изучения мобильных приложений. Эгельман назвал его «без сомнения, вредоносным ПО». Свои выводы аналитики собрали в отчете и опубликовали его, ранее эти выводы были предоставлены Федеральной торговой комиссии (FTC, регулятор конфиденциальных данных) и Google, который начал свое расследование, которое привело к удалению приложений.
«Расследования FTC являются непубличными, мы не можем комментировать, расследуем ли мы конкретный вопрос», — сказала пресс-секретарь Федеральной торговой комиссии. Представитель Google Скотт Уэстовер уточнил, что приложения, содержащие программное обеспечение Measurement Systems, были удалены из магазина Google Play 25 марта за сбор данных пользователей вне установленных правил. Он добавил, что приложения могут быть разблокированы после удаления кода, некоторые из разработчиков уже так и сделали.
Разработчиком кода была панамская компания Measurement Systems, связанная с оборонным подрядчиком из Вирджинии, отмечает WSJ. Интернет-домен Measurement Systems был зарегистрирован в 2013 году американской компанией Vostrom Holdings. Vostrom ведет бизнес с правительством США через дочернюю компанию Packet Forensics, они связаны с Родни Джоффе, консультантом правительства США по кибербезопасности и управляются несколькими его протеже. По словам пресс-секретаря Джоффе, тот владеет миноритарной долей в Packet Forensics и является неисполнительным председателем, но «уже много лет не играет никакой оперативной роли в бизнесе». «Он никогда не имел финансового интереса к Vostrom Holdings и не был привлечен к ним», — сказала пресс-секретарь.
Measurement Systems заявила по электронной почте: «Утверждения, которые вы делаете о деятельности компании, являются ложными». Согласно заявлению, компании не известно о связях с оборонными подрядчиками США и компанией Vostrom. Measurement Systems предлагает разработчикам приложений плату за включение своего программного кода в их мобильные приложения — они могут получить от $100 до $10 000 и более в месяц в зависимости от числа активных пользователей, данные которых они представят.
Measurement Systems, согласно документам, с которыми ознакомилась газета, сообщила разработчикам приложений, что ей нужны данные пользователей с Ближнего Востока, из Центральной и Восточной Европы, а также Азии. Для рынка данных, отмечает газета, это необычный запрос — данные из США и Западной Европы обычно имеют самые высокие цены. Несколько разработчиков заявили, что панамская компания потребовала от них подписания соглашений о неразглашении.
По данным Эгельмана и Ридмана, они обнаружили код (SDK) в нескольких приложения для мусульманских молитв, которые были загружены более 10 млн раз, в приложениях для обнаружения радаров-определителей скорости на трассах, для чтения QR-кода и других популярных потребительских программах для мобильных устройств. По оценке Эгельмана и Рирдона, ПО Measurement Systems для слежки присутствовало в приложениях, загруженных как минимум на 60 миллионах мобильных устройств, и, вероятно, намного больше.
Google отказался уточнить, сколько приложений в общей сложности содержало этот код. После того как исследователи стали делиться своими выводами, SDK перестал собирать данные о пользователях и отключился. Согласно выводам экспертов, ПО для слежки могло выполнять следующие действия:
- собирать большой объем данных о каждом пользователе, в том числе точное местоположение, данные электронной почты, номера телефонов, сведения о близлежащих компьютерах и мобильных устройствах;
- находить другие устройства, работающих в той же сети Wi-Fi, что и приложение, использующее код;
- собирать информацию, которая хранится в буфере обмена телефона, например пароли, каждый раз, когда используется функция вырезания и вставки;
- сканировать некоторые части файловой системы телефона, в том числе файлы, хранящиеся в папке загрузок WhatsApp. Он не обязательно мог читать содержимое файлов, но мог сопоставлять их с известными файлами.
Брокеры потребительских данных иногда собирают такие данные, но обычно они не включают персонализированные идентификаторы (электронную почту и телефоны), поскольку это может противоречить законам о конфиденциальности данных. «База данных, сопоставляющая чью-то фактическую электронную почту и номер телефона с их точной историей местоположения GPS, особенно пугает, поскольку ее можно легко использовать для запуска службы поиска истории местоположения человека, просто зная его номер телефона или адрес электронной почты, которые могут быть использованы для таргетинга на журналистов, диссидентов или политических деятелей», — написал Рирдон в блоге, объясняя свои выводы.