Google, tümü ABD ulusal güvenlik kurumları tarafından istihdam edilen bir yükleniciye bağlı kod içerdiği iddia edilen düzinelerce kötü amaçlı uygulamayı mobil uygulama pazarından kaldırdı.
göre Wall Street Dergisi Raporda, kodu yazan şirketin adı Measurement Systems. Firmanın, yazılım geliştirme kitini (SDK) uygulamalarına yerleştirmek için dünya çapında geliştiricilere ödeme yaptığı söyleniyor.
Android’in kesin sayısı (yeni sekmede açılır) kötü amaçlı yazılımı taşıyan uygulamalar (yeni sekmede açılır) net değil (en az on iki tane vardı), ancak keşiften sorumlu araştırmacılara göre uygulamalar toplamda en az 60 milyon kez indirildi.
Orta Doğu’yu Hedeflemek
Google, güvenliği ihlal edilmiş uygulamaları Play Store’dan kaldırdı, ancak bunlar etkin olmaya devam ediyor ve veri toplamaya devam ediyor. Uygulamalar, bir dizi Müslüman dua uygulamasını (10 milyondan fazla indirme), otoyolda hız tuzağı algılama uygulamalarını, QR kod okuma uygulamalarını ve diğer “popüler tüketici uygulamalarını” içerir.
İddiaya göre Measurement Systems, geliştiricilere Orta Doğu, Orta ve Doğu Avrupa ve Asya’daki kullanıcılardan veri istediklerini söyledi.
Sorunlu uygulamalardan bazılarının tartışmalı kodu kaldırdıktan sonra Google Play listelerine dönmesine zaten izin verildi.
Keşfin arkasındaki araştırmacılar Serge Egelman ve Joel Reardon’a göre, bulgular “mobil uygulamaları inceledikleri altı yılda gördükleri en mahremiyete zarar veren SDK’yı” temsil ediyor.
SDK, uç noktaların kesin konumundan e-posta adreslerine, telefon numaralarına ve yakındaki kişisel cihazlardaki verilere kadar her türlü veriyi topluyordu. Cihaz panosu da izlendi, yani şifrelerini mobil cihaza kim kopyalayıp yapıştırdıysa risk altındaydı.
Araştırmacılara göre, tüketici veri komisyoncuları tipik olarak gizlilik yasalarıyla korunan verilerden uzak durduklarından, toplanan verilerin türü oldukça sıra dışı.