Aplikasi Solat Muslim Popular Mega Mengumpul Nombor Telefon Secara Diam-diam

Imej untuk artikel bertajuk Mega-Popular Muslim Solat Aplikasi Diam-diam Menuai Nombor Telefon

Foto: Imej Pavlo Gonchar/SOPA/LightRocket (Imej Getty)

Google baru-baru ini but lebih sedozen apl daripada Play Storenya—antaranya apl solat Muslim dengan lebih 10 juta muat turun, pengimbas kod bar dan jam—selepas penyelidik menemui kod penuaian data rahsia yang tersembunyi di dalamnya. Lebih menyeramkan, kod rahsia itu direkayasa oleh sebuah syarikat yang dikaitkan dengan kontraktor pertahanan Virginia, yang membayar pembangun untuk memasukkan kodnya ke dalam apl mereka untuk mencuri data pengguna.

Semasa menjalankan penyelidikan, penyelidik menemui sekeping kod yang telah ditanam dalam berbilang apl yang digunakan untuk menyedut pengecam peribadi dan data lain daripada peranti. Kod itu, kit pembangunan perisian atau SDK, boleh “tanpa syak lagi digambarkan sebagai perisian hasad,” kata seorang penyelidik.

Untuk sebahagian besar, apl yang dipersoalkan nampaknya telah menyediakan fungsi asas yang berulang—jenis yang mungkin dimuat turun oleh seseorang dan kemudian dilupakan dengan segera. Walau bagaimanapun, sebaik sahaja ditanam pada telefon pengguna, program yang digabungkan dengan SDK memperoleh titik data penting tentang peranti dan penggunanya seperti nombor telefon dan alamat e-mel, penyelidik mendedahkan.

The jurnal dinding jalan pada asalnya melaporkan bahawa kod pelik dan invasif, ditemui oleh sepasang penyelidiks, Serge Egelman dan Joel Reardon, kedua-duanya mengasaskan organisasi yang dipanggil AppCensus, yang mengaudit apl mudah alih untuk privasi dan keselamatan pengguna. Dalam catatan blog mengenai penemuan mereka, Reardon menulis bahawa AppCensus pada mulanya menghubungi Google tentang penemuan mereka pada Oktober 2021. Walau bagaimanapun, apl itu akhirnya tidak dipadamkan daripada gedung Play sehingga 25 Mac selepas Google menyiasat, lapor Journal. Google mengeluarkan kenyataan sebagai tindak balas: “Semua apl di Google Play mesti mematuhi dasar kami, tanpa mengira pembangun. Apabila kami menentukan apl melanggar dasar ini, kami mengambil tindakan yang sewajarnya.”

Salah satu apl ialah pengimbas QR dan kod bar yang, jika dimuat turun, diarahkan oleh SDK untuk mengumpulkan nombor telefon, alamat e-mel, maklumat IMEI, data GPS dan SSID penghala pengguna. Satu lagi ialah rangkaian aplikasi solat Muslim termasuk Al Moazin dan Kompas Kiblat—dimuat turun kira-kira 10 juta kali—yang turut merompak nombor telefon, maklumat penghala dan IMEI. Widget cuaca dan jam dengan lebih satu juta muat turun menyedut jumlah data yang sama mengikut arahan kod. Secara keseluruhannya, apl tersebut, sebahagian daripadanya juga boleh menentukan lokasi pengguna, telah mengumpulkan lebih daripada 60 juta muat turun.

“Pangkalan data yang memetakan e-mel dan nombor telefon sebenar seseorang kepada sejarah lokasi GPS tepat mereka amat menakutkan, kerana ia boleh digunakan dengan mudah untuk menjalankan perkhidmatan untuk mencari sejarah lokasi seseorang hanya dengan mengetahui nombor telefon atau e-mel mereka, yang boleh digunakan untuk menyasarkan wartawan, penentang, atau saingan politik,” tulis Reardon dalam catatan blog beliau.

Jadi siapa di sebalik semua ini? Menurut penyelidik, sebuah syarikat yang berdaftar di Panama dipanggil Measurement Systems. Para penyelidik menulis dalam laporan mereka bahawa Sistem Pengukuran sebenarnya telah didaftarkan oleh sebuah syarikat bernama Vostrom Holdings-sebuah firma yang berpangkalan di Virginia dengan hubungan industri pertahanan negara. Vostrom berkontrak dengan kerajaan persekutuan melalui firma subsidiari yang dipanggil Packet Forensics, yang nampaknya pakar dalam kecerdasan siber dan pertahanan rangkaian untuk agensi persekutuan, laporan Jurnal.

Pembangun apl yang bercakap dengan akhbar itu mendakwa bahawa Sistem Pengurusan telah membayar mereka untuk menanamkan SDKnya ke dalam apl mereka, yang membenarkan syarikat itu “mengumpul data secara rahsia” daripada pengguna peranti. Pemaju lain menyatakan bahawa syarikat itu meminta mereka menandatangani perjanjian bukan pendedahan. Dokumen yang dilihat oleh Jurnal nampaknya mendedahkan bahawa syarikat itu kebanyakannya mahukan data tentang pengguna yang berpangkalan di “Timur Tengah, Eropah Tengah dan Timur dan Asia.”

Industri pertahanan mempunyai masa yang panjang, bermasalah perhubungan dengan industri pembrokeran data—sesuatu yang pantas ditunjukkan oleh penyelidik data di Twitter selepas kisah Jurnal itu digugurkan:

Senarai penuh apl yang didapati mengandungi kod SDK yang menyeramkan boleh didapati dalam Reardon’s menulis di laman web AppCensus.

We wish to thank the author of this write-up for this amazing material

Aplikasi Solat Muslim Popular Mega Mengumpul Nombor Telefon Secara Diam-diam


Explore our social media profiles and other related pageshttps://paw6.info/related-pages/