Google arrancó recientemente más de una docena de aplicaciones de su Play Store, entre ellas aplicaciones de oración musulmana con más de 10 millones de descargas, un escáner de código de barras y un reloj, después de que los investigadores descubrieran un código secreto de recolección de datos escondido dentro de ellas. Aún más espeluznante, el código clandestino fue diseñado por una empresa vinculada a un contratista de defensa de Virginia, que pagó a los desarrolladores para que incorporaran su código en sus aplicaciones para robar los datos de los usuarios.
Mientras realizaban una investigación, los investigadores encontraron un fragmento de código que se había implantado en varias aplicaciones y que se usaba para desviar identificadores personales y otros datos de los dispositivos. El código, un kit de desarrollo de software o SDK, podría “sin duda describirse como malware”, dijo un investigador.
En su mayor parte, las aplicaciones en cuestión parecen haber cumplido funciones básicas y repetitivas, del tipo que una persona podría descargar y luego olvidar rápidamente. Sin embargo, una vez implantados en el teléfono del usuario, los programas vinculados al SDK recolectaron puntos de datos importantes sobre el dispositivo y sus usuarios, como números de teléfono y direcciones de correo electrónico, revelaron los investigadores.
los Wall Street Journal informó originalmente que el extraño e invasivo código fue descubierto por un par de investigadoress, Serge Egelman y Joel Reardon, ambos cofundadores de una organización llamada AppCensus, que audita aplicaciones móviles para la privacidad y seguridad del usuario. En una entrada de blog
Una de las aplicaciones era un escáner de código de barras y QR que, si se descargaba, el SDK le indicaba que recopilara el número de teléfono, la dirección de correo electrónico, la información de IMEI, los datos del GPS y el SSID del enrutador del usuario. Otro fue un conjunto de aplicaciones de oración musulmanas, incluidas Al Moazin y Qibla Compass, descargadas aproximadamente 10 millones de veces, que de manera similar robaron números de teléfono, información del enrutador e IMEI. Un widget de tiempo y reloj con más de un millón de descargas absorbió una cantidad similar de datos por orden del código. En total, las aplicaciones, algunas de las cuales también podían determinar la ubicación de los usuarios, acumularon más de 60 millones de descargas.
G/O Media puede recibir una comisión
“Una base de datos que mapea el correo electrónico y el número de teléfono reales de alguien con su historial de ubicación GPS preciso es particularmente aterrador, ya que podría usarse fácilmente para ejecutar un servicio para buscar el historial de ubicación de una persona simplemente sabiendo su número de teléfono o correo electrónico, que podría usarse para atacar a periodistas, disidentes o rivales políticos”, escribe Reardon en su publicación de blog.
Entonces, ¿quién está detrás de todo esto? Según los investigadores, una empresa registrada en Panamá se llama Sistemas de Medición. Los investigadores escriben en su informe que los sistemas de medición en realidad fueron registrados por una empresa llamada Vostrom Holdings, una empresa con sede en Virginia vinculada a la industria de defensa nacional. Vostrom tiene contratos con el gobierno federal a través de una empresa subsidiaria llamada Packet Forensics, que parece especializarse en ciberinteligencia y defensa de redes para agencias federales, informa el Journal.
Los desarrolladores de aplicaciones que hablaron con el periódico afirmaron que Management Systems les había pagado para implantar su SDK en sus aplicaciones, lo que permitió a la empresa “recopilar datos de forma subrepticia” de los usuarios de dispositivos. Otros desarrolladores notaron que la compañía les pidió que firmaran acuerdos de confidencialidad. Los documentos vistos por el Journal aparentemente revelaron que la compañía principalmente quería datos sobre usuarios que tenían su sede en “Oriente Medio, Europa Central y Oriental y Asia”.
La industria de la defensa tiene una larga problemático relación con la industria de corretaje de datos, algo que los investigadores de datos en Twitter señalaron rápidamente después de que se publicara la historia del Journal:
Puede encontrar una lista completa de las aplicaciones que contenían el espeluznante código SDK en Reardon’s redactar en el sitio web de AppCensus.