Приложения в Google Play тайно собирали данные на пользователей
Google подтвердили удаление из своего магазина приложений, которые содержали скрытое программное обеспечение для сбора данных. Приложения работали на десятках миллионов устройств Android в мире — это примерно 60 млн пользователей.
Известно об этом случае стало после публикации расследования The Wall Street Journal. Разработчиком кода для тайного сбора данных числится панамская компания, связанная с подрядчиком в США. Авторами отчета стали соучредители компании AppCensus, которая изучает безопасность и конфиденциальность мобильных приложений.
По их оценке, обнаруженный код — самый инвазивный SDK, который они видели за шесть лет изучения мобильных приложений. После того, как отчет попал в Федеральную торговую комиссию и Google, те провели расследование и удалили приложения.
Расследования FTC являются непубличными, мы не можем комментировать, расследуем ли мы конкретный вопрос
сказала пресс-секретарь Федеральной торговой комиссии.
Представитель Google Скотт Уэстовер уточнил, что приложения, содержащие программное обеспечение Measurement Systems, были удалены из магазина Google Play 25 марта за сбор данных пользователей вне установленных правил. И добавил, что приложения могут быть разблокированы после удаления кода, некоторые из разработчиков уже так и сделали.
Какие функции могли быть у ПО для слежки:
- собирать большой объем данных о каждом пользователе, в том числе точное местоположение, данные электронной почты, номера телефонов, сведения о близлежащих компьютерах и мобильных устройствах;
- находить другие устройства, работающих в той же сети Wi-Fi, что и приложение, использующее код;
- собирать информацию, которая хранится в буфере обмена телефона, например, пароли, каждый раз, когда используется функция вырезания и вставки;
- сканировать некоторые части файловой системы телефона, в том числе файлы, хранящиеся в папке загрузок WhatsApp. Он не обязательно мог читать содержимое файлов, но мог сопоставлять их с известными файлами.
"База данных, сопоставляющая чью — то фактическую электронную почту и номер телефона с их точной историей местоположения GPS, особенно пугает, поскольку ее можно легко использовать для запуска службы поиска истории местоположения человека, просто зная его номер телефона или адрес электронной почты, которые могут быть использованы для таргетинга на журналистов, диссидентов или политических деятелей", — написал один из экспертов в блоге, объясняя свои выводы.
По оценке экспертов, ПО Measurement Systems для слежки присутствовало в приложениях, загруженных как минимум на 60 миллионов мобильных устройств, и, вероятно, намного больше. Google отказался уточнить, сколько приложений в общей сложности содержало этот код.
Ранее мы разбирали случай с Pegasus — было ли это ПО для борьбы с терроризмом или программа для тотальной слежки за людьми?