11 aplikacji skrywających spyware
Omawiane aplikacje już usunięto ze sklepu, ale niepokojące jest to, kto zbierał za ich pośrednictwem dane. Kod, który pozwalał na kolekcjonowanie danych, został stworzony przez firmę Measurement Systems, podobno powiązaną z kontrahentem ze stanu Virginia, który prowadzi działania wywiadowcze na zlecenie agencji bezpieczeństwa narodowego Stanów Zjednoczonych.
Wspomniany kod został odkryty przez naukowców Serge’a Egelmana z Uniwersytetu Kalifornijskiego w Berkeley oraz Joela Reardona z Uniwersytetu w Calgary, którzy podzielili się swoimi spostrzeżeniami z federacyjnymi organami regulacyjnymi w USA oraz Google. Kod był częścią aplikacji pogodowych, skanerów kodów QR, aplikacji modlitewnych, aplikacji ostrzegających o zdarzeniach drogowych i nie tylko. Oto ich pełna lista:
- Speed Camera Radar
- Al-Moazine Lite (Prayer Times)
- WiFi Mouse (remote control PC)
- QR & Barcode Scanner
- Qibla Compass – Ramadan 2022
- Simple weather & clock widget
- Handcent Next SMS-Text w/MMS
- Smart Kit 360
- Al Quran Mp3 – 50 Reciters & Translation Audio
- Full Quran MP3 – 50+ Languages & Translation Audio
- Audiosdroid Audio Studio DAW – Apps on Google Play
Przedsięwzięcie zakrojone na szeroką skalę
Firma Measurement Systems rzekomo płaciła nawet deweloperom, by Ci dodawali jej zestawy programistyczne (SDK) do swoich aplikacji. Deweloperzy nie dość, że mieli otrzymywać w zamian wynagrodzenie, to szczegółowe informacje o swojej bazie użytkowników. Dzięki temu kod tego przedsiębiorstwa znalazł się w aplikacjach, które pobrano na co najmniej 60 milionów urządzeń mobilnych.
Twórca jednej z aplikacji, w której znalazł się śledzący kod, a z którym skontaktowali się badacze, twierdził, iż powiedziano mu, że kod miał zbierać dane w imieniu dostawców usług internetowych oraz firm świadczących usługi finansowe i firm energetycznych. Przedstawiciele Measurement Systems mieli informować także, że potrzebują danych przede wszystkim z Bliskiego Wschodu, Europy Środkowo-Wschodniej i Azji.
„Baza danych mapująca czyjś rzeczywisty adres email, numer telefonu i precyzyjną lokalizację GPD jest szczególnie przerażająca, ponieważ można ją łatwo wykorzystać do uruchomienia serwisu, który pozwalałby na wyszukanie historii lokalizacji danej osoby znając tylko jej numer telefonu lub adres e-mail. Serwis ten mógłby być wykorzystywany do atakowania dziennikarzy, dysydentów lub rywali politycznych.”, Reardon podzielił się na łamach blogu platformy AppCensus.
Jak wspomniałam, Google usunęło już omawiane aplikacje ze sklepu Google Play, ale jak zauważają badacze – te wciąż są zainstalowane na milionach urządzeń. Co jednak ciekawe i z pewnością nieprzypadkowe, kod firmy Measurement Systems przestał zbierać dane użytkowników po ujawnieniu tego faktu.
Uczeni zwracają uwagę na to, że domena firmy Measurement Systems została zarejestrowana przez firmę o nazwie Vostrom Holdings Inc. Ta współpracuje z rządem federalnym za pośrednictwem spółki zależnej Packet Forensics LLC.
Measurement Systems rzecz jasna zaprzecza wszystkim zarzutom i jakimkolwiek powiązaniom z kontrahentami agencji bezpieczeństwa narodowego. Twierdzi ona, iż.. nie wiedziała nawet, że istnieje firma o nazwie Vostrom.
Jestem ciekawa, jak poruszona sprawa potoczy się w przyszłości. W tej chwili nie pozostaje nam nic innego, jak liczyć na to, że osoby odpowiedzialne za rozpowszechnianie spyware zostaną ukarane.
Źródło: Wall Street Journal, fot. tyt. Canva