„Google ištraukė daugybę programų iš savo Google Play parduotuvės, kai nustatė, kad jose yra programinės įrangos elementas, kuris slapta renka duomenis.
Programinės įrangos kodą parašiusi Panamos įmonė „Measurement Systems S. de R.L.“ per įmonės įrašus ir žiniatinklio registracijas yra susieta su Virdžinijos gynybos rangovu, kuris atlieka kibernetinės žvalgybos, tinklo gynybos ir žvalgybos perėmimo darbus JAV nacionalinio saugumo agentūroms.
Kodas veikė milijonuose „Android“ įrenginių ir buvo rastas keliose musulmonų maldos programėlėse, kurios buvo atsisiųstos daugiau, nei 10 milijonų kartų, taip pat greitkelių greičio spąstų aptikimo programėlėje, QR kodo skaitymo programėlėje ir daugelyje kitų populiarių vartotojų programėlių, teigia du tyrėjai, kurie, atlikdami auditą, atrado kodo veikimą, ieškodami „Android“ programų spragų. Jie pasidalino savo išvadomis su „Google“, „Alphabet Inc.“ padaliniu, federalinėmis privatumo reguliavimo institucijomis ir „The Wall Street Journal“.
„Measurement Systems“ mokėjo kūrėjams visame pasaulyje, kad jie į savo programas įtrauktų savo kodą, žinomą, kaip programinės įrangos kūrimo rinkinys arba SDK, sakė kūrėjai. Pasak Tarptautinio kompiuterių mokslo instituto ir Kalifornijos universiteto Berklio tyrėjo Serge'o Egelmano ir Joelio Reardono iš Kalgario universiteto, jo buvimas leido Panamos įmonei slapta rinkti duomenis iš savo vartotojų.
Šiuolaikinės programos dažnai apima SDK, kuriuos parašė mažai žinomos įmonės, pvz., „Measurement Systems“, „kurios nėra patikrintos ar gerai suprantamos“, sakė p. Egelmanas. Jų įterpimas dažnai vilioja programų kūrėjus, kurie gauna daug pajamų ir išsamių duomenų apie savo vartotojų bazę.
„Ši istorija ir toliau pabrėžia, kaip svarbu nepriimti saldainių iš nepažįstamų žmonių“, – sakė P. Egelmanas.
Du vyrai, įkūrę bendrovę „AppCensus“, tiriančią programų mobiliesiems saugumą ir privatumą, mano, kad programinė įranga yra labiausiai privatumą pažeidžiantis SDK, kurį jie matė. Ją „be jokios abejonės galima apibūdinti kaip kenkėjišką programinę įrangą“, – sakė p. Egelmanas.
Jis ir ponas Reardonas dokumentavo savo išvadas trečiadienį paskelbtoje ataskaitoje, kuri buvo pasidalinta su žurnalu ir anksčiau pateikta Federalinei prekybos komisijai (FTC). Abu vyrai detalizavo programų, kuriose rado kodą, sąrašą. Jie taip pat pasidalino savo išvadomis kovo mėnesį su „Google“. „FTC tyrimai yra nevieši, mes negalime komentuoti, ar tiriame konkretų dalyką“, – sakė FTC atstovė.
Pasak „Google“ atstovo Scotto Westoverio, programos, kuriose yra matavimo sistemų programinės įrangos, buvo pašalintos iš „Google Play“ parduotuvės kovo 25 d., nes jos rinko naudotojų duomenis, nesilaikant „Google“ nustatytų taisyklių. Ponas Westoveris teigė, kad programėlės gali būti įtrauktos į sąrašą, jei programinė įranga būtų pašalinta. Kai kurios jau grįžo į „App Store“.
„Google“ veiksmai netrukdo „Measurement System“ gebėjimui rinkti duomenis iš milijonų telefonų visame pasaulyje, kuriuose jau įdiegta jos programinė įranga. Ponai Egelmanas ir Reardonas nustatė, kad SDK nustojo rinkti duomenis apie savo vartotojus ir atsijungė netrukus po to, kai abu vyrai pradėjo platinti savo išvadas.
Egelmano ir Reardono teigimu, matavimo sistemų programinė įranga veikė daugiau, nei dešimtyje programų, įskaitant daugybę musulmonų tematikos maldos programų, tokių, kaip Al Moazin ir Qibla Compass. Anot dviejų tyrėjų, matavimo sistemų programinės įrangos rinkinys buvo įtrauktas į programas, atsisiųstas į mažiausiai 60 milijonų mobiliųjų įrenginių ir tikriausiai daug daugiau.
„Google“ atsisakė pasakyti, kiek programų iš viso yra programinė įranga.
Remiantis jų išvadomis, tikrasis programinės įrangos pasiekiamumas gali būti daug didesnis, nes ji gali aptikti kitus įrenginius, veikiančius tame pačiame „Wi-Fi“ tinkle, kaip ir naudojant programėlę, kuri turi kodą, o tai gali būti būdas susieti socialinius tinklus.
„Parfield“, Egipte įsikūrus „Al Moazin“ kūrėjas, teigė, kad jai buvo pranešta, kad „Measurement Systems“ renka duomenis interneto paslaugų teikėjų, taip pat finansinių paslaugų ir energetikos įmonių vardu. „Qibla“ kūrėjai į prašymą komentuoti neatsakė.
Remiantis žurnalo peržiūrėtais dokumentais, „Measurement Systems“ programų kūrėjams pranešė, kad visų pirma nori duomenų iš Artimųjų Rytų, Vidurio ir Rytų Europos bei Azijos – tai neįprastas prašymas, nes JAV ir Vakarų Europos duomenys paprastai yra brangiausi tarp komercinių brokerių. Keletas kūrėjų teigė, kad „Measurement Systems“ reikalavo, kad jie pasirašytų neatskleidimo sutartis.
„Measurement Systems“ SDK buvo kitose populiariose „Android“ vartotojų programose, įskaitant orų programas, QR kodo skaitytuvus ir greitkelio radaro aptikimo programą. „Pixalate“, trečiosios šalies įmonė, stebinti programų analizę, žurnalui pateikė duomenis apie geografinį matavimo sistemas naudojančių programėlių naudotojų pasiskirstymą. Viena orų programa, kurios viduje veikė kodas, buvo ypač populiari Irane.
Ponai Reardonas ir Egelmanas nustatė, kad SDK rinko daug duomenų apie kiekvieną vartotoją, įskaitant tikslią vietą, asmeninius identifikatorius, pvz., el. pašto ir telefonų numerius, taip pat duomenis apie netoliese esančius kompiuterius ir mobiliuosius įrenginius. Nors vartotojų duomenų brokeriai kartais renka tokius duomenis, jie paprastai neįtraukia suasmenintų identifikatorių, pvz., el. pašto adresų ir telefono numerių, nes tai gali prieštarauti duomenų privatumo įstatymams.
„Measurement Systems“ SDK taip pat gali rinkti informaciją, kuri saugoma telefono iškarpinėje (pvz., slaptažodžiai), kai naudojama iškirpimo ir įklijavimo funkcija. Be to, ji turi galimybę nuskaityti kai kurias telefono failų sistemos dalis, įskaitant ypač failus, saugomus „WhatsApp“ atsisiuntimų aplanke, atrado ponai Reardonas ir Egelmanas. Jis nebūtinai galėjo nuskaityti failų turinį, bet gali juos suderinti su žinomais failais, naudojant metodą, vadinamą palyginimu pagal maišą.
„WhatsApp“ yra plačiai naudojama visame pasaulyje kaip alternatyva tekstiniams pranešimams, tačiau ji užšifruoja pranešimus, kai jie kerta internetą, taip apsaugodama vartotojo privatumą, tačiau dažnai trukdo teisėsaugos ir žvalgybos agentūroms perimti turinį.
„Duomenų bazė, susiejanti kažkieno tikrąjį el. pašto adresą ir telefono numerį su tikslia GPS vietos istorija, yra ypač gąsdinanti, nes ji gali būti lengvai naudojama paslaugai, skirtai asmens vietovių istorijoje ieškoti, žinant jo telefono numerį arba el. pašto adresą, kurį būtų galima panaudoti, kad nusitaikyti į žurnalistus, disidentus ar politinius varžovus“, – savo išvadas paaiškinančiame tinklaraščio įraše rašė G. Reardonas.
Gynybos departamentas ir kiti nacionalinio saugumo subjektai anksčiau teigė perkantys didelius kiekius duomenų, gautų iš komercinių paslaugų teikėjų, tačiau atsisakė aptarti konkrečių dalykų.
„Vykdydami savo įgaliotą veiklą, Gynybos komponentų departamentas perka viešai ir komerciškai prieinamus duomenis, kad galėtų analizuoti užsienio grėsmes nacionaliniam saugumui“, – anksčiau sakė Pentagono atstovas.
Remiantis žiniatinklio domeno įrašais, „Measurement Systems“ interneto domeną 2013 m. užregistravo JAV įsikūrusi įmonė „Vostrom Holdings Inc.“. Šiuose įrašuose dabar méréssys.com nurodyta, kaip registruota paslaugai, kuri „saugo domeno vardų savininkų privatumą“.
Remiantis įmonės įrašais, „Vostromas“ bendradarbiauja su federaline vyriausybe per dukterinę įmonę „Packet Forensics LLC“. „Measure Systems S de R.L.“ taip pat nurodė dvi kontroliuojančias bendroves kaip pareigūnus, kurių abiejų adresas yra Sterling, Va., su žmonėmis, susijusiais su „Vostrom“, remiantis įmonės įrašais.
Be to, vienas iš tų žmonių valdė U.S. LLC tuo pačiu pavadinimu: Measurement Systems LLC, remiantis įmonių nuosavybės įrašais. Jis buvo panaikintas tą pačią savaitę, kai žurnalas paprašė Vostromo ir Packet Forensics komentarų.
„Measurement Systems“ elektroniniame laiške nurodė: „Jūsų pateikti kaltinimai apie įmonės veiklą yra klaidingi. Be to, mes nežinome apie jokius ryšius tarp mūsų įmonės ir JAV gynybos rangovų, taip pat nežinome apie... bendrovę „Vostrom“. taip pat neaišku, kas yra „Packet Forensics“ arba kaip ji susijusi su mūsų įmone. „Measurement Systems“ neatsakė į klausimus, kaip „Vostromas“ užregistravo jų domeną.
„Vostromas“ ir jos dukterinės įmonės yra susijusios su Rodney Joffe, ilgamečiu JAV vyriausybės kibernetinio saugumo konsultantu, ir joms vadovauja keli jo gynėjai, remiantis įmonių nuosavybės įrašais ir su šiuo klausimu susipažinusiu asmeniu.
„Ponas Joffe turi mažumos „Packet Forensics“ akcijų paketą ir eina ne vykdomojo direktoriaus pareigas, tačiau daugelį metų nevykdo jokio operatyvinio vaidmens versle. P. Joffe niekada neturėjo finansinių interesų „Vostrom Holdings“ ir nebuvo su ja susijęs. “, – sakė J. Joffe atstovė.
P. Joffe šaltiniai pateikia specializuotus duomenis ir galimybes vyriausybės subjektams, kartais įslaptintose programose, sakė žmonės, susipažinę su jo karjera. Jis aktyviai dalyvavo ilgai trunkančiame ginče dėl interneto srauto stebėjimo buvusiam prezidentui Donaldui Trumpui priklausančiuose nekilnojamojo turto objektuose per 2016 m. rinkimus.
Vis daugiau informacijos internete tapo užšifruota, todėl vyriausybės ėmėsi programinės įrangos mobiliuosiuose įrenginiuose, kad rinktų informaciją apie žmones ir vietas, kuriose jie lankosi. Duomenys gali apimti geografinę vietą, skatinančią kelių milijardų dolerių vertės vietos analizės pramonės augimą, kad būtų galima suprasti žmonių judėjimą.
„Measurement Systems“ siūlo mokėti kūrėjams už programinės įrangos kodo įtraukimą į savo mobiliąsias programas, sakydama, kad kodas renka „neasmeninę informaciją apie programos naudotojus“.
Žurnalo peržiūrėtuose dokumentuose kūrėjai nurodė, kad jie gali uždirbti nuo 100 dolerių iki 10 000 dolerių – ar daugiau – per mėnesį, priklausomai nuo to, kiek aktyvių vartotojų galėtų pristatyti. Bendrovė ypač domėjosi vartotojais, kurie įgalino programą pasiekti vartotojo buvimo vietą, rodo dokumentai, tačiau pabrėžė, kad tam, kad rinkti duomenis nereikėjo įgalinti tokių leidimų.” [1]
1. Google Yanks Apps With Hidden Code That Harvests Data
Tau, Byron.
Wall Street Journal, Eastern edition; New York, N.Y. [New York, N.Y]. 07 Apr 2022: A.1.
Komentarų nėra:
Rašyti komentarą