Kolejne aplikacje kradnące dane użytkowników wyleciały ze sklepu Play. Wiadomość teoretycznie mało oryginalna, takich akcji już trochę było. W tym wypadku pojawiło się kilka ciekawostek pokazujących dlaczego ta walka jest tak trudna, a mało stanowcze Google nie pomaga.
Krawcy z Panamy?
Jak się okazało, cała grupa aplikacji, która w trybie nagłym opuściła Google Play, wykorzystywała SDK wykradające dane, przygotowane przez mającą siedzibę w Panamie firmę Measurement Systems S. de RL. Co ciekawe, amerykańskie portale dokopały się, że ten twór powiązany jest z inną firmą, świadczącą usługi dla niektórych amerykańskich instytucji zajmujących się bezpieczeństwem.
Na trop tego oprogramowania ukrytego w kilkunastu aplikacjach trafili specjaliści od bezpieczeństwa firmy AppCensus. Według ich oceny SDK jest wysoce inwazyjne, jak to ujęli, nie spotkali się od kilku lat z tak „agresywnym” kodem. Bez najmniejszych wątpliwości mogą stwierdzić, że SDK spełnia wszelkie warunki dla nazwania go „oprogramowaniem złośliwym”.
Obaj panowie w pierwszej kolejności poinformowali o sprawie Google, a następnie opinię publiczną. W ich raporcie wymieniono wszystkie aplikacje uczestniczące w tym procederze, a liczbę instalacji oceniono na około 60 mln smartfonów. Google ze swojej strony wszczęło śledztwo i w efekcie 25 marca wywaliło programy ze swojego sklepu. Samo SDK przestało zbierać dane dopiero po upublicznieniu informacji o nim kilkanaście dni później.
Implementacja, nie infekcja
Co ciekawe, przyłapane aplikacje ciężko nazwać zainfekowanymi. SDK zostało w nich użyte przez autorów z pełną premedytacją za pieniądze. Measurement Systems płaciło bowiem twórcom za jego użycie, a Ci udawali, że nie widzą w tym niczego zdrożnego.
Jeszcze ciekawiej, szczególnie w kontekście wspomnianych powiązań z amerykańskimi instytucjami ds bezpieczeństwa, brzmią wymagania „panamczyków”. Firma informowała deweloperów, że interesują ich dane użytkowników z Bliskiego Wschodu oraz Europy Środkowej i Wschodniej. Wśród wyrzuconych aplikacji znalazło się np. kilka muzułmańskich aplikacji modlitewnych.
Co zbierało SDK? Cóż, znacznie więcej niż podstawowe dane osobowe. Wśród przesyłanych pakietów odnaleziono dane o lokalizacji, indywidualne identyfikatory, ale też dane o wszystkich komputerach i smartfonach, jakie zostawiły ślad na telefonie użytkownika np. współużytkowników sieci domowej. Kopiowane były dane ze schowków oraz niektórych folderów pobierania, np. aplikacji WhatsUp.
Amerykańscy dziennikarze sugerują, że biznes tej firmy mógł opierać się na sprzedaży zebranych danych Departamentowi Obrony (a zapewne agencjom z innych państw), choć oczywiście żadnego potwierdzenia nie udało się uzyskać. Biznes musiał się w każdym razie opłacać, według zebranych danych, Measurement Systems płaciło twórcom aplikacji od 100 do 10 tys. dolarów miesięcznie, zależnie od liczby „prześwietlanych” użytkowników.
SDK z wozu? Witamy z powrotem
Tego, czy „krawcy z Panamy” zbierali dane dla rządu Stanów Zjednoczonych, czy cyberprzestępców, pewnie się nie dowiemy. Jednak sprawa zaszywania przez deweloperów pierwszego lepszego SDK, wyłącznie dla kasy, jest po prostu bulwersująca.Niepokoi też podejście Google, które po usunięciu takiego kodu pozwala na powrót wyrzuconej aplikacji do swojego sklepu.
Skoro ktoś w świadomy sposób naraża prywatność użytkowników (ciężko przypuszczać, żeby nie domyślano się, co jest towarem w tej transakcji), to powinien ze sklepu wylecieć permanentnie i to z wszystkimi programami. Takie łaskawe podejście Google jest właściwie zachętą do tego, żeby choć na jakiś czas takie „wytrychy” instalować, a potem co najwyżej półgębkiem się przeprosi i wrzuci „czystą” wersję. Niestety, jeśli czegoś możemy być pewni to, że takich prób wyciągania naszych danych będzie z każdym miesiącem, rokiem więcej.
Stock Image from Depositphotos.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu