Російська Pushwoosh маскувалась під американську компанію. Її код є в тисячах застосунків в AppStore і Google Play

Тисячі застоссунків в AppStore і Google Play містять комп’ютерний код, створений компанією Pushwoosh. Вона позиціонує себе американською, але насправді є російською, повідомляє Reuters.

Що сталося

Компанія Pushwoosh надає підтримку в розробці коду і обробці даних. Зокрема це дозволяє профілювати онлайн-активність користувачів застосунків для смартфонів і відправляти індивідуальні пуш-повідомлення з серверів Pushwoosh. Компанія позиціонує себе як американську, проте її штаб-квартира насправді знаходиться в російському Новосибірську.

Тепер Центр з контролю та профілактики захворювань США заявили, що були введені в оману, вважаючи, що компанія Pushwoosh базується у Вашингтоні. З міркувань безпеки відомство видалило ПЗ російської компанії із семи загальнодоступних застосунків. Аналогічно діяли і в американській армії. В березні цього року вони видалили застосунок, що містив код Pushwoosh. До слова, його використовували солдати на одній з головних баз бойової підготовки країни.

Що відомо про компанію

У компанії працює близько 40 осіб, а її дохід за минулий рік склав $2,4 млн. Pushwoosh сплачує податки в росії. Однак в соціальних мережах і в американських регуляторних документах вона представляє себе як американську, що базується то в Каліфорнії, то в Меріленді, то у Вашингтоні. Останній, зокрема, вказаний як місцезнаходження у Twitter.

Також у компанії нібито є офіс у передмісті Кенсінгтона (штат Меріленд). Журналісти Reuters з’ясували, за зазначеною адресою є будинок, в якому проживає російський друг засновника Pushwoosh — Макса Конєва. Він сказав, що не має нічого спільного з Pushwoosh. Проте дозволив Конєву використовувати його адресу для отримання пошти під час пандемії.

Засновник Pushwoosh Макс Конєв у вересні спростував Reuters, що компанія не намагалася приховати своє російське походження: «Я пишаюся тим, що я росіянин, і ніколи б не став цього приховувати».

В чому проблема

Код Pushwoosh був вбудований в майже 8000 застосунків в App Store та Google Play. На сайті Pushwoosh повідомляється, що в його базі даних налічується понад 2,3 млрд пристроїв. Тобто діяльність компанії виглядає як серйозна загроза.

«Pushwoosh збирає дані користувачів, включаючи точну геолокацію, у чутливих та урядових застосунках, що може дозволити інвазивне відстеження у великих масштабах. Проте ми не знайшли жодних явних ознак обману або зловмисного наміру в діяльності Pushwoosh. Це безумовно, не зменшує ризик витоку даних застосунків до Росії», — сказав Джером Дангу, співзасновник компанії Confiant, що відстежує неправомірне використання даних, зібраних у ланцюжках постачання онлайн-реклами.

І трохи про реакцію Apple та Google:

• У Google заявили, що конфіденційність є «величезним фокусом» для компанії, але не відповіли на запити про коментарі щодо Pushwoosh.
• Apple заявила, що серйозно ставиться до довіри і безпеки користувачів, але також відмовилася відповідати на запитання.