O Google lançou recentemente Mais de uma dúzia de aplicativos de sua Play Store – entre eles aplicativos de oração muçulmana com mais de 10 milhões de downloads, um scanner de código de barras e um relógio – depois que os pesquisadores descobriram um código secreto de coleta de dados escondido dentro dele. Ainda estranho, o código secreto foi projetado por uma empresa ligada a uma empresa de defesa da Virgínia, que pagou aos desenvolvedores para integrar seu código em seus aplicativos para roubar os dados dos usuários.
Enquanto conduziam a pesquisa, os pesquisadores criaram um código que foi implantado em vários aplicativos que foram usados para roubar identificadores pessoais e outros dados de dispositivos. Um pesquisador disse que o código, ou kit de desenvolvimento de software, ou SDK, “pode, sem dúvida, se qualificar como malware”.
Na maioria das vezes, os aplicativos em questão pareciam oferecer funcionalidades básicas repetitivas – do tipo que uma pessoa pode baixar e esquecer imediatamente. No entanto, uma vez implantado no telefone de um usuário, o software com o SDK coletava dados importantes sobre o dispositivo e seus usuários, como números de telefone e endereços de e-mail, revelaram os pesquisadores.
O Jornal de Wall Street Eu mencionei originalmente que o código alienígena invasor foi descoberto por um par de pesquisadoress, Serge Egelman e Joel Reardon, ambos cofundadores de uma organização chamada AppCensus, que audita aplicativos móveis para privacidade e segurança do usuário. no Postagem do blog Com base em suas descobertas, Reardon escreveu que o AppCensus inicialmente entrou em contato com o Google sobre suas descobertas em outubro de 2021. No entanto, os aplicativos não foram removidos da Play Store até 25 de março após o Google investigar, de acordo com relatórios do Journal. O Google emitiu uma declaração em resposta: “Todos os aplicativos no Google Play devem estar em conformidade com nossas políticas, independentemente do desenvolvedor. Quando determinamos que um aplicativo viola essas políticas, tomamos as medidas apropriadas”.
Um dos aplicativos era um scanner de código de barras e QR code que, se baixado, era direcionado pelo SDK para coletar o número de telefone do usuário, endereço de e-mail, informações de IMEI, dados de GPS e SSID do roteador. O outro era um conjunto de aplicativos de oração muçulmano, incluindo o muezzin e a bússola Qibla – baixados quase 10 milhões de vezes – que roubavam números de telefone, informações de roteador e IMEI. Um widget de clima e relógio com mais de 1 milhão de downloads suga uma quantidade semelhante de dados em um comando de código. Ao todo, os aplicativos, alguns dos quais também podem localizar usuários, alcançaram mais de 60 milhões de downloads.
G/O Media pode receber comissão
“O banco de dados que identifica o e-mail e o número de telefone reais de uma pessoa de acordo com seu histórico de localização GPS preciso é particularmente intimidador, pois pode ser facilmente usado para executar um serviço para pesquisar o histórico de localização de uma pessoa assim que seu número de telefone ou e-mail for conhecido, o que pode ser usado para atingir jornalistas, dissidentes ou rivais políticos”, escreve Reardon em compartilhe seu blog.
Então, quem está por trás de tudo isso? Segundo os pesquisadores, uma empresa registrada no Panamá se chama Measurement Systems. Em seu relatório, os pesquisadores escreveram que a Measurement Systems foi, na verdade, registrada por uma empresa chamada Vostrom Holdings – uma empresa sediada na Virgínia com vínculos com a indústria nacional de defesa. A Vostrom contrata o governo federal por meio de uma subsidiária chamada Packet Forensics, que parece se especializar em inteligência cibernética e defesa de rede para agências federais, informa o Journal.
Os desenvolvedores de aplicativos que falaram com o jornal alegaram que os sistemas de gerenciamento os pagavam para implantar o SDK em seus aplicativos, o que permitia à empresa “coletar secretamente dados” dos usuários do dispositivo. Outros desenvolvedores indicaram que a empresa havia pedido que assinassem acordos de confidencialidade. Documentos vistos pela revista aparentemente revelaram que a empresa queria principalmente dados sobre usuários residentes no “Oriente Médio, Europa Central e Oriental e Ásia”.
A indústria de defesa tem um longo problema relação Com a indústria de corretagem de dados – algo que os pesquisadores de dados no Twitter rapidamente apontaram depois que a história da revista deu errado:
Uma lista completa de aplicativos encontrados para conter o temido código SDK pode ser encontrada em Reardon Escrevendo no site do AppCensus.