Тисячі застоссунків в AppStore і Google Play містять комп’ютерний код, створений компанією Pushwoosh. Вона позиціонує себе американською, але насправді є російською, повідомляє Reuters.
Що сталося
Компанія Pushwoosh надає підтримку в розробці коду і обробці даних. Зокрема це дозволяє профілювати онлайн-активність користувачів застосунків для смартфонів і відправляти індивідуальні пуш-повідомлення з серверів Pushwoosh. Компанія позиціонує себе як американську, проте її штаб-квартира насправді знаходиться в російському Новосибірську.
Тепер Центр з контролю та профілактики захворювань США заявили, що були введені в оману, вважаючи, що компанія Pushwoosh базується у Вашингтоні. З міркувань безпеки відомство видалило ПЗ російської компанії із семи загальнодоступних застосунків. Аналогічно діяли і в американській армії. В березні цього року вони видалили застосунок, що містив код Pushwoosh. До слова, його використовували солдати на одній з головних баз бойової підготовки країни.
Що відомо про компанію
У компанії працює близько 40 осіб, а її дохід за минулий рік склав $2,4 млн. Pushwoosh сплачує податки в росії. Однак в соціальних мережах і в американських регуляторних документах вона представляє себе як американську, що базується то в Каліфорнії, то в Меріленді, то у Вашингтоні. Останній, зокрема, вказаний як місцезнаходження у Twitter.
Також у компанії нібито є офіс у передмісті Кенсінгтона (штат Меріленд). Журналісти Reuters з’ясували, за зазначеною адресою є будинок, в якому проживає російський друг засновника Pushwoosh — Макса Конєва. Він сказав, що не має нічого спільного з Pushwoosh. Проте дозволив Конєву використовувати його адресу для отримання пошти під час пандемії.
Засновник Pushwoosh Макс Конєв у вересні спростував Reuters, що компанія не намагалася приховати своє російське походження: «Я пишаюся тим, що я росіянин, і ніколи б не став цього приховувати».
В чому проблема
Код Pushwoosh був вбудований в майже 8000 застосунків в App Store та Google Play. На сайті Pushwoosh повідомляється, що в його базі даних налічується понад 2,3 млрд пристроїв. Тобто діяльність компанії виглядає як серйозна загроза.
«Pushwoosh збирає дані користувачів, включаючи точну геолокацію, у чутливих та урядових застосунках, що може дозволити інвазивне відстеження у великих масштабах. Проте ми не знайшли жодних явних ознак обману або зловмисного наміру в діяльності Pushwoosh. Це безумовно, не зменшує ризик витоку даних застосунків до Росії», — сказав Джером Дангу, співзасновник компанії Confiant, що відстежує неправомірне використання даних, зібраних у ланцюжках постачання онлайн-реклами.
І трохи про реакцію Apple та Google:
- У Google заявили, що конфіденційність є «величезним фокусом» для компанії, але не відповіли на запити про коментарі щодо Pushwoosh.
- Apple заявила, що серйозно ставиться до довіри і безпеки користувачів, але також відмовилася відповідати на запитання.