Niedawno uruchomiono Google Kilkanaście aplikacji ze Sklepu Play – w tym muzułmańskie aplikacje modlitewne z ponad 10 milionami pobrań, skaner kodów kreskowych i zegarek – po tym, jak badacze odkryli ukryty w nim tajny kod do gromadzenia danych. Nadal dziwny, tajny kod został zaprojektowany przez firmę powiązaną z wykonawcą obrony Wirginii, który płacił programistom za zintegrowanie swojego kodu z ich aplikacjami w celu kradzieży danych użytkowników.
Podczas przeprowadzania badań naukowcy wymyślili fragment kodu, który został wszczepiony do wielu aplikacji, które służyły do kradzieży osobistych identyfikatorów i innych danych z urządzeń. Jeden z badaczy powiedział, że kod, zestaw programistyczny lub SDK „można bez wątpienia zakwalifikować jako złośliwe oprogramowanie”.
W większości te aplikacje wydawały się oferować powtarzalną podstawową funkcjonalność – taką, którą można pobrać, a potem natychmiast zapomnieć. Jednak po wszczepieniu do telefonu użytkownika oprogramowanie z SDK zbierało ważne dane dotyczące urządzenia i jego użytkowników, takie jak numery telefonów i adresy e-mail, jak ujawnili naukowcy.
ten Dziennik Wall Street Wspomniałem, że inwazyjny kod obcych został odkryty przez dwóch badaczys, Serge Egelman i Joel Reardon, obaj współzałożyciele organizacji o nazwie AppCensus, która kontroluje aplikacje mobilne pod kątem prywatności i bezpieczeństwa użytkowników. w Post na blogu Na podstawie ich ustaleń Reardon napisał, że AppCensus początkowo skontaktował się z Google w sprawie ich ustaleń w październiku 2021 r. Jednak zgodnie z raportami Journal, aplikacje nie zostały ostatecznie usunięte ze Sklepu Play do 25 marca po zbadaniu przez Google. W odpowiedzi Google wydał oświadczenie: „Wszystkie aplikacje w Google Play muszą być zgodne z naszymi zasadami, niezależnie od dewelopera. Gdy stwierdzimy, że aplikacja narusza te zasady, podejmujemy odpowiednie działania”.
Jedną z aplikacji był skaner kodów kreskowych i QR, który po pobraniu był kierowany przez SDK w celu zebrania numeru telefonu użytkownika, adresu e-mail, informacji IMEI, danych GPS oraz identyfikatora SSID routera. Drugim był zestaw muzułmańskich aplikacji modlitewnych, w tym kompas muezin i Qibla – pobranych prawie 10 milionów razy – które podobnie kradły numery telefonów, informacje o routerze i IMEI. Widżet pogody i zegara z ponad 1 milionem pobrań wysysa podobną ilość danych z polecenia kodu. W sumie aplikacje, z których niektóre mogą również lokalizować użytkowników, osiągnęły ponad 60 milionów pobrań.
G/O Media może otrzymać prowizję
„Baza danych, która identyfikuje rzeczywisty adres e-mail i numer telefonu osoby zgodnie z jej dokładną historią lokalizacji GPS, jest szczególnie onieśmielająca, ponieważ można ją łatwo wykorzystać do uruchomienia usługi w celu sprawdzenia historii lokalizacji osoby, gdy jej numer telefonu lub adres e-mail jest znany, co mogą być wykorzystywane do atakowania dziennikarzy, dysydentów lub rywali politycznych” — pisze Reardon udostępnij jego bloga.
Więc kto za tym wszystkim stoi? Według naukowców firma zarejestrowana w Panamie nazywa się Measurement Systems. W swoim raporcie naukowcy napisali, że Measurement Systems został w rzeczywistości zarejestrowany przez firmę o nazwie Vostrom Holdings — firmę z siedzibą w Wirginii, powiązaną z krajowym przemysłem obronnym. Vostrom zawiera kontrakty z rządem federalnym za pośrednictwem spółki zależnej Packet Forensics, która wydaje się specjalizować w cyberwywiadach i obronie sieci dla agencji federalnych, donosi Journal.
Twórcy aplikacji, którzy rozmawiali z gazetą, twierdzili, że systemy zarządzania zapłaciły im za wszczepienie SDK do ich aplikacji, co pozwoliło firmie „potajemnie zbierać dane” od użytkowników urządzeń. Inni deweloperzy wskazali, że firma poprosiła ich o podpisanie umów o zachowaniu poufności. Dokumenty, do których dotarł magazyn, najwyraźniej ujawniły, że firma potrzebowała głównie danych o użytkownikach przebywających na „Bliskim Wschodzie, w Europie Środkowo-Wschodniej i Azji”.
Przemysł obronny od dawna, problem relacja W branży pośrednictwa danych — coś, co badacze danych na Twitterze szybko zauważyli po tym, jak historia magazynu poszła nie tak:
Pełną listę aplikacji zawierających przerażający kod SDK można znaleźć na stronie Reardon Pismo na stronie AppCensus.
„Muzyk. Guru kawy. Specjalista od zombie. Adwokat mediów społecznościowych. Introwertyk. Ekstremalny miłośnik jedzenia. Ewangelista alkoholu”.