Google a retiré des dizaines d’applications utilisées par des millions d’utilisateurs après avoir découvert qu’elles récoltaient secrètement des données, Le journal de Wall Street a signalé. Les chercheurs ont trouvé des applications météo, des applications de radar routier, des scanners QR, des applications de prière et d’autres contenant du code qui pourrait récolter l’emplacement précis, l’e-mail, les numéros de téléphone d’un utilisateur et plus encore. Il a été fabriqué par Measurement Systems, une société qui serait liée à un sous-traitant de la défense de Virginie qui fait du cyber-renseignement et plus encore pour les agences de sécurité nationale américaines. Il a nié les allégations.
Le code a été découvert par les chercheurs Serge Egelman de l’UC Berkeley et Joel Reardon de l’Université de Calgary, qui ont divulgué leurs découvertes aux régulateurs fédéraux et à Google. Il peut « sans aucun doute être décrit comme un malware », a déclaré Egelman au WSJ.
Measurement Systems aurait payé des développeurs pour ajouter leurs kits de développement logiciel (SDK) aux applications. Les développeurs seraient non seulement payés, mais recevraient des informations détaillées sur leur base d’utilisateurs. Le SDK était présent sur les applications téléchargées sur au moins 60 millions d’appareils mobiles. Un développeur d’applications a déclaré qu’il avait été informé que le code collectait des données pour le compte des FAI ainsi que des sociétés de services financiers et d’énergie. Measurement Systems a également déclaré qu’il voulait des données principalement du Moyen-Orient, d’Europe centrale et orientale et d’Asie.
« Une base de données mappant l’e-mail et le numéro de téléphone réels d’une personne à son historique de localisation GPS précis est particulièrement effrayante, car elle pourrait facilement être utilisée pour exécuter un service permettant de rechercher l’historique de localisation d’une personne simplement en connaissant son numéro de téléphone ou son e-mail, ce qui pourrait être utilisé. pour cibler des journalistes, des dissidents ou des rivaux politiques », a déclaré Reardon sur le blog de recherche AppCensus.
Bien que Google ait retiré ces applications du Play Store, les chercheurs ont noté qu’elles existent toujours sur des millions d’appareils. Dans le même temps, ils ont constaté que le SDK avait cessé de collecter les données des utilisateurs après la révélation de leurs découvertes.
Le domaine Measurement Systems a été enregistré par une société appelée Volstrom Holdings Inc., qui traite avec le gouvernement fédéral par l’intermédiaire d’une filiale appelée Packet Forensics LLC. Une société appelée Measurement Systems S de RL « a également répertorié deux sociétés holding en tant que dirigeants, qui partagent toutes deux une adresse à Sterling, en Virginie, avec des personnes affiliées à Volstrom », le WSJ c’est noté.
Dans un communiqué, Measurement Systems a déclaré au WSJ par e-mail que « les allégations que vous faites sur les activités de l’entreprise sont fausses. De plus, nous ne sommes au courant d’aucun lien entre notre entreprise et des sous-traitants de la défense américaine et nous ne connaissons pas… une entreprise appelée Vostrom. Nous ne savons pas non plus ce que Packet Forensics est ou comment il se rapporte à notre entreprise. »
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.