Najveća ruska internet kompanija ugradila je kod u aplikacije koje se nalaze na mobilnim uređajima koji omogućavaju slanje informacija o milionima korisnika na servere koji se nalaze u njenoj zemlji.
Otkriće se odnosi na softver koji je kreirao Jandeks (Yandex) koji dozvoljava programerima da kreiraju aplikacije za uređaje koji koriste Apple-ov iOS i Google-ov Android, sisteme koji pokreću veliku većinu svetskih pametnih telefona.
Jandeks prikuplja korisničke podatke prikupljene sa mobilnih telefona, pre nego što ih pošalje na servere u Rusiji. Istraživači su izrazili zabrinutost da bi istim „metapodacima“ mogao pristupiti Kremlj i koristiti za praćenje ljudi preko njihovih mobilnih telefona.
Istraživač Zek Edvards je prvi put došao do otkrića u vezi sa Jandeksovim kodom kao deo kampanje revizije aplikacija za Me2B Alliance, neprofitnu organizaciju. Četiri nezavisna stručnjaka izvršila su testove za Fajnenšel tajms kako bi potvrdili njegov rad.
Jandeks je priznao da njegov softver prikuplja informacije o „uređaju, mreži i IP adresi” koje se čuvaju „i u Finskoj i u Rusiji”, ali je te podatke nazvao „nepersonalizovanim i veoma ograničenim”. Dodaje se: „Iako je teoretski moguće, u praksi je izuzetno teško identifikovati korisnike samo na osnovu takvih prikupljenih informacija. Jandeks to definitivno ne može da uradi.”
Otkrića dolaze u kritičnom trenutku za Jandeks, koji se često naziva „ruskim Guglom“, koji je dugo pokušavao da zacrta nezavisan put, a da ne prekrši želju ruskog predsednika Vladimira Putina za većom kontrolom interneta.
Kompanija je saopštila da je pratila „veoma strog” interni proces u radu sa vladama: „Odbijaju se svi zahtevi koji nisu u skladu sa svim relevantnim proceduralnim i zakonskim zahtevima.
Ali Šer Skarlet, nekadašnji glavni softverski inženjer za globalnu bezbednost u Apple-u, rekla je da kada se podaci o korisnicima prikupe na ruskim serverima, Jandeks bi mogao biti obavezan da ih dostavi vladi prema lokalnim zakonima. Drugi stručnjaci su rekli da bi se metapodaci koje je prikupio Jandeks mogli koristiti za identifikaciju korisnika.
Ron Viden, predsednik finansijskog komiteta američkog Senata i jedan od arhitekata američke internet regulative, žestoko je kritikovao Gugl i Epl zato što ne čine dovoljno da obezbede pametne telefone od softvera Jandeks, koji je pronašao put do 52.000 aplikacija koje dostižu stotine miliona potrošača.
„Ove aplikacije izvlače privatne, osetljive podatke iz aplikacija na vašem telefonu, ugrožavajući nacionalnu bezbednost SAD i privatnost Amerikanaca i drugih pojedinaca širom sveta“, rekao je on.
Jandeks se smatra globalnim tehnološkim gigantom i kotiran je na njujorškoj berzi i u većinskom je vlasništvu američkih fondova. Osnovana je u Amsterdamu, a osnivač Arkadij Volož živi u Izraelu. Kompanija je 2019. postigla sporazum sa ruskom vladom, kodifikujući strukturu koja osigurava da Moskva može da interveniše po nekim pitanjima kao što su strane akvizicije bez kontrole svakodnevnih operacija.
Invazija na Ukrajinu srušila je njene međunarodne ambicije, pogodila njenu cenu akcija, a neki zapadni partneri prekinuli su veze. Izvršni direktor kompanije Tigran Khudaverdjan dao je ostavku prošle nedelje nakon što je bio na meti sankcija EU koje su imale za cilj da pogode imovinu poslovnih ljudi za koje se smatra da su bliski Kremlju.
Jandeks ima softver u obliku kompleta za razvoj softvera, ili SDK, pod nazivom „AppMetrica“. SDK-ovi su građevinski blokovi koje programeri koriste za kreiranje aplikacija. SDK za Google mape, na primer, omogućava aplikacijama da ugrade funkcije mapiranja umesto da grade tu funkcionalnost od nule. Mnogi SDK-ovi se nude „besplatno“ u zamenu za pristup korisničkim podacima koji pomažu ciljanom oglašavanju.
Među aplikacijama sa instaliranom AppMetricom su igre, aplikacije za razmenu poruka, alati za deljenje lokacije i stotine virtuelnih privatnih mreža — alatke dizajnirane da omoguće ljudima da pretražuju veb bez praćenja. Sedam VPN-ova napravljeno je posebno za ukrajinsku publiku. Ukupne instalacije aplikacija koje uključuju AppMetrica SDK se kreću u stotinama miliona, prema Appfigures, grupi za obaveštavanje aplikacija.
„AppMetrica SDK tvrdi da pruža odgovarajuće usluge, sve dok telefonira kući u Moskvu sa duboko invazivnim detaljima metapodataka koji se mogu koristiti za praćenje ljudi na veb lokacijama i u aplikacijama“, rekao je Edvards, istraživač.
„Za ljude sa profilom visoke pretnje ili koji rade na poslovima visokog profila, korišćenje aplikacija koje šalju ove podatke u Moskvu je opasno i potencijalno može dovesti do napada na kućne mreže ili drugih oblika digitalnog nadzora.
Senator Vajden je dodao: „Epl i Gugl tvrde da je njihova monopolska kontrola nad njihovim prodavnicama aplikacija neophodna da bi potrošači bili bezbedni. Svaki dan kada aplikacije napravljene od ruskog Jandeks SDK ostaju u tim prodavnicama je dodatni dokaz da je bezbednost potrošača za koju tvrde da je iluzija.
Jandeks je branio upotrebu svog SDK-a, rekavši da on „funkcioniše na isti način kao i međunarodne kolege“, uključujući Google Firebase, koji se nalazi u više od 2 miliona Android aplikacija. Kompanija je saopštila da prikuplja podatke samo „nakon što aplikacija dobije saglasnost korisnika“ preko Android i iOS aplikacija. „Informišemo programere u vezi sa funkcionisanjem AppMetrice i oni su u obavezi da, ako to zahteva zakon, dobiju saglasnost od svojih korisnika“, dodao je Jandeks.
Slično, Apple je rekao da AppMetrica ne može neselektivno pristupiti korisničkim podacima, jer SDK zahteva saglasnost.
Patrick Jackson, glavni tehnološki službenik u Disconnect-u, programer alata za digitalnu privatnost, kaže da je razlog zašto SDK-ovi mogu predstavljati rizik upravo zato što ne traže dozvolu. Umesto toga, oni „priključuju dozvole koje ste vi, korisnik, dali aplikaciji“, rekao je on.
Gugl je priznao da ima više posla da uradi pružajući korisnicima transparentnost o tome šta se SDK-ovi koriste za pravljenje aplikacija i rekao je da će sprovesti istragu na osnovu nalaza koje je predstavio FT.
Neki programeri aplikacija počeli su da uklanjaju AppMetricu iz svojih aplikacija nakon ruske invazije na Ukrajinu. „Odlučili smo da prestanemo da koristimo usluge u ruskom vlasništvu kada je počeo rat“, rekao je portparol Gismart-a, koji proizvodi desetine igara sa instaliranom AppMetricom.
Opera, popularni veb pretraživač sa ugrađenim VPN-om, takođe je rekao da je onemogućio SDK od 15. februara, „u pripremi za njegovo potpuno uklanjanje“. Nije dalo razloga osim što smo rekli „prešli smo na sopstvenu platformu za oglašavanje“.
Nasuprot tome, više od 2.000 aplikacija dodalo je AppMetrica SDK od invazije na Ukrajinu, uključujući nekoliko za koje se čini da su dizajnirane da prate ukrajinske korisnike.
„Pozovi Ukrajinu“, na primer, je „besplatni mesindžer za Ukrajince“ koji je pokrenut u Play prodavnici 10. marta koristeći plavo-žutu zastavu kao svoju ikonu. Nakon preuzimanja, aplikacija može da vidi identitet korisnika i pročita njegove kontakte. Programer uključuje lažnu adresu e-pošte: „[email protected]“.
Šer Skarlet je rekla da je zabrinjavajuće što je AppMetrica instalirana u 21 VPN aplikaciju samo u poslednjih 30 dana. „Pokušavate da budete proaktivni da budete sigurniji“, dodala je, „ali zapravo sebe činite ranjivijim“.