Google ha ritirato dozzine di app utilizzate da milioni di utenti dopo aver scoperto che hanno raccolto segretamente dati. Non è la prima volta che Google compie un’opera di pulizia tale.
Lo riferisce il Wall Street Journal, secondo cui i ricercatori hanno trovato app meteorologiche, app radar autostradali, scanner QR, app di preghiera e altri contenenti codice che potrebbero aver raccolto la posizione precisa, l’e-mail, i numeri di telefono e altri dati utente.
Il codice è stato scoperto dai ricercatori Serge Egelman della UC Berkeley e Joel Reardon dell’Università di Calgary, che hanno rivelato le loro scoperte alle autorità di regolamentazione federali e a Google. Il presunto malware è stato realizzato da Measurement Systems, una società che secondo quanto riferito è legata a un appaltatore della difesa della Virginia che si occupa di cyber-intelligence e altro ancora per le agenzie di sicurezza nazionale statunitensi. La società ha negato le accuse. Senza mezzi termini, i ricercatori hanno classificato queste app come malware, o meglio, così le hanno descritte al WSJ.
Secondo quanto riferito, Measurement Systems, ha pagato gli sviluppatori per aggiungere i loro kit di sviluppo software (SDK) alle app. Gli sviluppatori non solo sarebbero stati pagati, ma avrebbero ricevuto informazioni dettagliate sulla loro base di utenti. L’SDK era presente sulle app scaricate su almeno 60 milioni di dispositivi mobili. Uno sviluppatore di app ha dichiarato che gli è stato detto che il codice stava raccogliendo dati per conto degli ISP insieme alle società di servizi finanziari e di energia.
Sebbene Google abbia rimosso queste app dal Play Store, i ricercatori hanno notato che sono ancora installate su milioni di dispositivi. Allo stesso tempo, hanno scoperto che l’SDK ha smesso di raccogliere i dati degli utenti dopo che i risultati sono stati rivelati.
Il dominio Measurement Systems è stato registrato da una società chiamata Volstrom Holdings Inc., che si occupa del governo federale attraverso una filiale chiamata Packet Forensics LLC. Una società chiamata Measurement Systems S de R.L. “ha anche elencato due holding come funzionari, entrambe le quali condividono un indirizzo Sterling, Virginia, con persone affiliate a Volstrom”.
Measurement Systems ha respinto al mittente le accuse, e così ha commentato la vicenda al WSJ via e-mail: “le accuse che fai sulle attività dell’azienda sono false. Inoltre, non siamo a conoscenza di alcun legame tra la nostra azienda e gli appaltatori della difesa degli Stati Uniti né siamo a conoscenza di… una società chiamata Vostrom. Non siamo nemmeno chiari su cosa sia Packet Forensics o come si relazioni con la nostra azienda”.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.