Personlige informationer, herunder telefonnummer, lokation og e-mail-adresser er blevet overført til tredjepart. USA’s nationale sikkerhedstjenester kan være involveret.
Google har været nødt til at hive en række apps ud af Play Store, fordi de indhentede personlige oplysninger om brugeren af den pågældende Android-enhed og overleverede dem til tredjepart. Det skete uden brugerens tilladelse.
Der er ifølge Wall Street Journal tale om ”dusinvis” af apps, der udfører en række meget populære og vidt udbredte opgaver, lige fra vejr-apps, trafikmelding-apps, QR-kode-scanner og sågar apps med religiøst indhold.
Disse apps er blevet installeret på mindst 60 mio. enheder verden over, der alle har fået den problematiske kode ned på deres devices. Den ekstra kode, der var tilføjet de mange apps, er blevet opdaget af to cybersikkerhedsforskere ved henholdsvis UC Berkeley i Californien og University of Calgary i Canada.
Forskeren fra UC Berkeley, Serge Edelman, siger til Wall Street Journal, at koden ”uden tvivl kan beskrives som malware”, til trods for at koden allermest lyder som det, man tidligere kaldte spyware. Men det skadelige i koden handler om, hvad de indhentede informationer kan bruges til, siger forskerne.
Kan bruges til personangreb
Joel Reardon fra University of Calgary skriver på AppCensus-bloggen her, at når man i en database kan ”sammenholde et telefonnummer eller en email med en præcis GPS-lokation, kan dette bruges til at sammensætte en historik af personens geografiske færden. Dette kan så bruges til at angribe journalister, politiske rivaler eller dissidenter.”
Selve koden er udviklet af et lille firma ved navn Measurement Systems, der har betalt app-udviklere for at bruge firmaets SDK’er. Ud over pengene har Measurement Systems lovet udviklerne at de ville modtage detaljerede informationer om brugerne, som udviklerne så kunne bruge til at målrette markedsføringen.
Measurement Systems sagde, at firmaet ville tage en del af de indhentede data og videreformidle dem til sine kunder, der primært var ISP’er, firmaer i finanssektoren og energiselskaber. Det hed sig også, at Measurement Systems var primært interesserede i data fra Mellemøsten, Asien og Central- og Østeuropa.
Det står endnu ikke helt klart, om EU-landene i Central- og Østeuropa var omfattet af dette, men i givet fald er der tale om et klart brud på GDPR-reglerne, fordi brugerne ikke blev informeret om dataindsamlingen.
Nægter alt
Forbindelsen til USA’s nationale sikkerhedsagenturer går via Volstrom Holdings Inc., der står som registrant af Measurement Systems’ webdomæne. Et af Volstroms underselskaber ved navn Packet Forensics LLC løser ifølge Wall Street Journal opgaver for USA’s føderale regering. Der er også et adresse-sammenfald mellem Measurement Systems og folk der er associeret med Volstrom ifølge avisen.
Alligevel nægter Measurement Systems at have noget som helst med sagen at gøre. ”Anklagerne er falske”, skriver firmaet i en email til Wall Street Journal. ”Vi er derudover ikke bekendt med nogle forbindelser mellem vores virksomhed og virksomheder, der samarbejder med USA’s forsvarsministerium…eller firmaer ved navn Volstrom eller Packet Forensics”.
Uanset hvad kan det måske være en god idé at slette og gendownloade amerikanske apps, du skulle have liggende på din Android-telefon. Hvis du ikke kan gendownloade en app, kan den have været en del af de spionage-ramte apps.
