Компания Google удалила десятки приложений, используемых миллионами пользователей, после того, как выяснилось, что они скрытно собирают данные, сообщает издание The Wall Street Journal.
Исследователи обнаружили погодные приложения, приложения для определения дорожных радаров, QR-сканеры, приложения для молитв и другие, содержащие код, который мог собирать данные о точном местоположении пользователя, его электронной почте, номерах телефонов и многом другом. Приложения были сделаны компанией Measurement Systems, которая, как сообщается, связана с оборонным подрядчиком из Вирджинии, занимающимся киберразведкой для агентства национальной безопасности США. Компания опровергла эти обвинения.
Код был обнаружен исследователями Сержем Эгельманом из Калифорнийского университета в Беркли и Джоэлом Рирдоном из Университета Калгари, которые сообщили о своих результатах федеральным регуляторам и Google. Его «без сомнения можно назвать вредоносным ПО», — сказал Эгельман в интервью WSJ.
По сообщениям, Measurement Systems платила разработчикам за добавление своих комплектов для разработки программного обеспечения (SDK) в приложения. Разработчики не только получали деньги, но и подробную информацию о своей пользовательской базе. SDK присутствовал в приложениях, загруженных по меньшей мере на 60 миллионов мобильных устройств.
Один из разработчиков приложений заявил, что ему сообщили, что код собирает данные от имени интернет-провайдеров, а также финансовых и энергетических компаний. Measurement Systems также заявила, что ей нужны были данные в основном из стран Ближнего Востока, Центральной и Восточной Европы и Азии.
«Особенно пугает база данных, сопоставляющая реальный адрес электронной почты и номер телефона человека с его точной историей местоположения по GPS, так как ее легко можно использовать для запуска службы, позволяющей просматривать историю местоположения человека, зная лишь его номер телефона или электронную почту, что может быть использовано для преследования журналистов, диссидентов или политических активистов», – заявил Рирдон в исследовательском блоге AppCensus.
Хотя Google удалил эти приложения из Play Store, исследователи отметили, что они всё ещё присутствуют на миллионах устройств. В то же время они обнаружили, что SDK перестал собирать данные пользователей после того, как стало известно о результатах исследования.
Домен Measurement Systems был зарегистрирован компанией Volstrom Holdings Inc., которая работает с федеральным правительством через дочернюю компанию Packet Forensics LLC «также указала в качестве должностных лиц две холдинговые компании, обе из которых имеют общий адрес в Стерлинге, штат Вирджиния, с людьми, связанными с Volstrom», — отмечает WSJ.
В своём заявлении компания Measurement Systems сообщила WSJ по электронной почте, что «ваши утверждения о деятельности компании не соответствуют действительности. Кроме того, мы не знаем о каких-либо связях между нашей компанией и американскими оборонными подрядчиками, равно как и о... компании под названием Vostrom. Нам также неясно, что такое Packet Forensics и какое отношение она имеет к нашей компании».
Ещё по теме:
- Мишустин: В России скоро нельзя будет скачать приложения из App Store и Google Play
- Роскомнадзор запретил рекламировать Google и её информационные ресурсы
- Приложения «Сбербанка» и «Альфа-банка» могут исчезнуть из App Store и Google Play