Fant russisk kode i tusenvis av apper
Selskapet laget falske firmaprofiler i USA.
Nyhetsbyrået Reuters melder at en rekke apper i både Google og Apples butikker nå viser seg å ha russisk innhold.
Innholdet ble presentert som amerikansk, gjennom at utviklerne i Pushwoosh har oppgitt amerikanske adresser for sine kontorer, og laget falske ansattprofiler på Linkedin.
Selskapet er i realiteten fra Sibir.
Koden er brukt i rundt 8.000 apper totalt sett, og koden skal ha eksistert i alt fra såpeprodusenten Unilever til UEFA og det britiske arbeiderpartiet (Labour). Totalt 2,3 milliarder mobilenheter skal være i Pushwoosh’ database.
Innholdet har til og med sneket seg inn i programvare brukt av det amerikanske forsvaret og Centers for Disease Control and Prevention (CDC) – det amerikanske folkehelseinstituttet.
Tilgang til sensitive data
Ifølge Reuters driver Pushwoosh med brukerprofilering og pushvarsling basert på aktiviteten i appene den er del av. Dermed er den en slags ferdig puslespillbrikke som kan kjøpes av en utvikler som trenger nettopp slike tjenester, men ikke ønsker å utvikle løsningen selv.
Dataene som samles skal være lignende de Google og Facebook samler, inkludert geolokasjon. Forskjellen er at de behandles på servere i Russland kontrollert av Pushwoosh som er underlagt russisk lovgiving.
Det kan i teorien bli brukt til massiv overvåkning, hevder Jerome Dangu, grunlegger av Confiant - et selskap som jobber med å spore opp misbruk av brukerdata på nettet.
Dangu påpeker likevel at de ikke har funnet tegn til misbruk ennå:
– Vi har ikke funnet noe klart tegn på villedende eller ondsinnet bruk av dataen hos Pushwoosh. Men det reduserer absolutt ikke risikoen for at appdata lekker til Russland, sier Dangu til Reuters.
Reuters har heller ikke funnet eksempler på at dataen har blitt sendt videre til russiske myndigheter. Samtidig påpeker de at det har vært eksempler hvor russiske selskaper har blitt tvunget til å oppgi brukerdata til russiske sikkerhetsmyndigheter.
Falske profiler
Pushwoosh har både overfor amerikanske myndigheter og på sosiale medier oppgitt adresser i California, Maryland og hovedstaden Washington D.C.
I tillegg til at adressene ble brukt ved registrering av aktiviteter i USA, ble de også brukt på selskapets firmaprofiler på sosiale medier så som LinkedIn og Twitter.
På en av de oppgitte adressene skal en russisk venn av Pushwoosh-sjefen ha bodd, men uten å ha noen videre forbindelser til selskapet som bare hadde fått lov til å bruke adressen.
Også fiktive ansattprofiler med amerikanske navn var opprettet på LinkedIn.
Trodde tjenesten var amerikansk
Løsningen har siden blitt fjernet fra flere av de større appene Reuters fant den i. Både CDC og UEFA oppga å ha trodd de handlet med et amerikansk selskap. Unilever har avsluttet kontrakten med selskapet, og britiske Labour hadde ingen kommentar.
De falske ansattprofilene på LinkedIn er siden tatt ned.
Max Konev er Pushwoosh-grunnlegger og sjefen for selskapet som har førti ansatte og er basert i Novosibirsk. Han nektet for å ha forsøkt å skjule selskapets opphav:
– Jeg er stolt av å være russisk og ville aldri skjult det.
Hverken Google eller Apple har uttalt seg i sammenhengen.