Společnost Google stáhla desítky aplikací používaných miliony uživatelů poté, co zjistila, že skrytě sbírají data. Výzkumníci našli aplikace pro předpověď počasí, dálniční radary, QR skenery, modlitební aplikace a další, které obsahovaly kód umožňující zjistit přesnou polohu uživatele, jeho e-mail, telefonní čísla a další údaje.
Všechny tyto aplikace měli v sobě stejný kód, který napsala společnost Measurement Systems S. de R.L se sídlem v Panamě. Ta je údajně spojena s obranným dodavatelem z Virginie, jenž se zabývá kybernetickou rozvědkou a dalšími činnostmi pro americké národní bezpečnostní agentury. Společnost tato obvinění ale popřela.
Kód objevili výzkumníci Serge Egelman z Kalifornské univerzity v Berkeley a Joel Reardon z Univerzity v Calgary. Ti své poznatky sdělili federálním regulačním orgánům a společnosti Google. Oba muži spoluzaložili společnost AppCensus, jež zkoumá bezpečnost a soukromí mobilních aplikací. Prý se jedná software, který nejvíce zasahuje do soukromí, se kterým se za šest let zkoumání aplikací setkali. „Lze jej bezpochyby označit za malware“, uvedl Egelman.
Kód byl přítomen v aplikacích stažených do nejméně 60 milionů mobilních zařízení
Společnost Measurement Systems zaplatila vývojářům po celém světě za to, aby do svých aplikací začlení její kód. Tento typ kódu je známý jako sada pro vývoj softwaru (SDK). Vývojáři měli nejen dostávat peníze, ale také podrobné informace o své uživatelské základně.
Nejméně 60 milionů lidí si podle odhadů nainstalovalo níže uvedené škodlivé aplikace.
- Speed Camera Radar
- Al-Moazin Lite (Prayer Times)
- Wi-Fi Mouse (remote control PC)
- QR & Barcode Scanner (developed by AppSource Hub)
- Qibla Compass – Ramadan 2022
- Simple weather & clock widget (developed by Difer)
- Handcent Next SMS-Text with MMS
- Smart Kit 360
- Al Quran MP3 – 50 Reciters & Translation Audio
- Full Quran MP3 – 50+ Languages & Translation Audio
- Audiosdroid Audio Studio DAW
Jeden z vývojářů aplikací uvedl, že mu bylo sděleno, že kód shromažďuje údaje jménem poskytovatelů internetových služeb spolu se společnostmi poskytujícími finanční služby a energie. Společnost Measurement Systems také uvedla, že chtěla získat údaje především ze Středního východu, střední a východní Evropy a Asie.
„Databáze mapující e-mail a telefonní číslo člověka s přesnou historií jeho GPS polohy je obzvláště děsivá, protože by mohla být snadno použita k provozování služby, která by vyhledávala historii polohy člověka jen na základě znalosti jeho telefonního čísla nebo e-mailu, což by mohlo být využito k cílení na novináře, disidenty nebo politické soupeře,“ uvedl Reardon na blogu AppCensus.
Společnost Google tyto aplikace z Obchodu Play včera obratem stáhla. Již dnes jsou ale zase dostupné ke stažení. Ačkoli Google slibuje, že před jejich opětovným zařazením ověřil, že již nejsou invazivní a problematické, dává smysl je již radši znova nestahovat.
