Motorul de căutare rusesc, Yandex, ar putea transmite datele utilizatorilor de Android și iOS către guvernul de la Moscova. Această vulnerabilitate se referă la un serviciu software oferit de Yandex în Google Play și App Store.
Într-o analiză a Financial Times, experții au descoperit că un SDK (kit de dezvoltare software) al Yandex colectează metadate de la utilizatori care sunt stocate în servere din Rusia. Asta a ridicat o serie de îngrijorări cu privire la confidențialitatea datelor preluate și că acestea ar putea fi accesate de Kremlin și folosite pentru a urmări utilizatorii.
”Deși este posibil din punct de vedere teoretic, în practică este extrem de greu de identificat utilizatorii doar pe baza acestor informații colectate. Yandex cu siguranță nu poate face acest lucru”, a declarat compania rusă pentru Financial Times.
Descoperirea a fost făcută de cercetătorii de la Me2B Alliance, un ONG care se concentrează pe protejarea confidențialității și securității online, în timp ce făceau un audit al aplicațiilor de mobil. Cercetătorii au găsit codul instalat în aproape 52.000 de aplicații. Unul dintre cercetători a scris pe Twitter că utilizatorii nu pot verifica dacă vreuna dintre aplicațiile pe care le folosesc conține această vulnerabilitate deoarece „nici Google, nici Apple nu au o modalitate de a identifica acest SDK înainte de a descărca o aplicație„.
Ce este un SDK?
SDK-urile sunt un set de instrumente care pot fi utilizate pentru a dezvolta servicii software pentru o anumită platformă. Ele includ instrumente, biblioteci de cod, API-uri (interfețe de programare) și cod-exemplu care ajută un programator să dezvolte o aplicație.
SDK-ul care ar putea facilita accesul autorităților de la Kremlin la datele utilizatorilor se numește AppMetrica, iar experții sunt de părere că ar profita de permisiunile pe care utilizatorii le acordă aplicației care conțină acest software pentru a colecta metadatele pe care le transferă în serverele din Rusia.
Cel mai des, acest SDK a fost găsit în aplicațiile de VPN. Peste 20 de astfel de exemple au fost identificate de experți, majoritatea dintre ele fiind folosite de utilizatori ucraineni.
”AppMetrica pretinde că oferă servicii adecvate, în timp ce comunică cu Moscova cu metadate foarte invazive care pot fi folosite pentru a urmări oamenii pe site-uri și aplicații”, a declarat un cercetător pentru Financial Times.
Google a început deja o investigație proprie cu privire la descoperirea făcută de echipa de cercetare a Me2B și a promis că va lua măsuri împotriva aplicațiilor care încalcă regulile din Play Store.
Leave a Comment