डेटा चोरी कोड मिलने के बाद Google Play Store ऐप्स को ब्लॉक कर देता है

Google ने हाल ही में लॉन्च किया इसके प्ले स्टोर से एक दर्जन से अधिक ऐप – उनमें से 10 मिलियन से अधिक डाउनलोड के साथ मुस्लिम प्रार्थना ऐप, एक बारकोड स्कैनर और एक घड़ी – शोधकर्ताओं द्वारा इसके अंदर छिपे एक डेटा-संग्रह गुप्त कोड की खोज के बाद। अभी भी अजीब है, गुप्त कोड को वर्जीनिया रक्षा ठेकेदार से जुड़ी एक कंपनी द्वारा डिजाइन किया गया था, जिसने डेवलपर्स को उपयोगकर्ताओं के डेटा को चुराने के लिए अपने कोड को अपने ऐप में एकीकृत करने के लिए भुगतान किया है।

शोध करते समय, शोधकर्ता कोड के एक टुकड़े के साथ आए, जिसे कई ऐप में प्रत्यारोपित किया गया था, जिसका उपयोग व्यक्तिगत पहचानकर्ताओं और उपकरणों से अन्य डेटा चोरी करने के लिए किया गया था। एक शोधकर्ता ने कहा कि कोड, या सॉफ्टवेयर डेवलपमेंट किट, या एसडीके, “निस्संदेह मैलवेयर के रूप में योग्य हो सकता है।”

अधिकांश भाग के लिए, विचाराधीन ऐप्स ने दोहराव वाली मुख्य कार्यक्षमता की पेशकश की थी – जिस तरह से एक व्यक्ति डाउनलोड कर सकता है और फिर तुरंत भूल सकता है। हालांकि, एक बार उपयोगकर्ता के फोन में प्रत्यारोपित होने के बाद, एसडीके के साथ सॉफ्टवेयर ने डिवाइस और उसके उपयोगकर्ताओं के बारे में महत्वपूर्ण डेटा बिंदुओं जैसे फोन नंबर और ईमेल पते काटा, शोधकर्ताओं ने खुलासा किया।

वॉल स्ट्रीट जर्नल मैंने मूल रूप से उल्लेख किया है कि हमलावर एलियन कोड की खोज शोधकर्ताओं की एक जोड़ी ने की थीs, सर्ज एगेलमैन, और जोएल रियरडन, दोनों ने AppCensus नामक एक संगठन की सह-स्थापना की, जो उपयोगकर्ता की गोपनीयता और सुरक्षा के लिए मोबाइल ऐप्स का ऑडिट करता है। पर ब्लॉग भेजा अपने निष्कर्षों के आधार पर, Reardon ने लिखा कि AppCensus ने शुरुआत में 2021 के अक्टूबर में अपने निष्कर्षों के बारे में Google से संपर्क किया था। हालांकि, जर्नल की रिपोर्ट के अनुसार, Google द्वारा जांच किए जाने के बाद, ऐप्स को अंततः Play Store से 25 मार्च तक नहीं हटाया गया था। Google ने जवाब में एक बयान जारी किया: “Google Play पर सभी ऐप्स को डेवलपर की परवाह किए बिना हमारी नीतियों का पालन करना चाहिए। जब ​​हम यह निर्धारित करते हैं कि कोई ऐप इन नीतियों का उल्लंघन करता है, तो हम उचित कार्रवाई करते हैं।”

अनुप्रयोगों में से एक बारकोड और क्यूआर कोड स्कैनर था, जिसे डाउनलोड करने पर, एसडीके द्वारा उपयोगकर्ता के फोन नंबर, ईमेल पते, आईएमईआई जानकारी, जीपीएस डेटा और राउटर एसएसआईडी एकत्र करने के लिए निर्देशित किया गया था। दूसरा मुअज़्ज़िन और क़िबला कंपास सहित मुस्लिम प्रार्थना ऐप का एक सूट था – लगभग 10 मिलियन बार डाउनलोड किया गया – इसी तरह फोन नंबर, राउटर की जानकारी और आईएमईआई चुरा लिया। 1 मिलियन से अधिक डाउनलोड वाला एक मौसम और घड़ी विजेट एक कोड कमांड पर समान मात्रा में डेटा चूसता है। कुल मिलाकर, ऐप्स, जिनमें से कुछ उपयोगकर्ताओं का पता भी लगा सकते हैं, ने 60 मिलियन से अधिक डाउनलोड हासिल किए हैं।

“डेटाबेस जो किसी व्यक्ति के वास्तविक ईमेल और फोन नंबर को उनके सटीक जीपीएस स्थान इतिहास के अनुसार पहचानता है, विशेष रूप से डराने वाला है, क्योंकि इसका उपयोग किसी व्यक्ति के स्थान इतिहास को देखने के लिए सेवा चलाने के लिए आसानी से किया जा सकता है, जब उनका फोन नंबर या ईमेल ज्ञात हो, जो पत्रकारों, असंतुष्टों, या राजनीतिक प्रतिद्वंद्वियों को लक्षित करने के लिए इस्तेमाल किया जा सकता है,” रियरडन लिखते हैं उसका ब्लॉग साझा करें.

तो इन सबके पीछे कौन है? शोधकर्ताओं के अनुसार पनामा में पंजीकृत कंपनी को मेजरमेंट सिस्टम कहा जाता है। अपनी रिपोर्ट में, शोधकर्ताओं ने लिखा है कि मेजरमेंट सिस्टम्स वास्तव में वोस्ट्रॉम होल्डिंग्स नामक एक कंपनी द्वारा पंजीकृत किया गया था – एक वर्जीनिया स्थित कंपनी जिसका राष्ट्रीय रक्षा उद्योग से संबंध है। वोस्ट्रॉम संघीय सरकार के साथ पैकेट फोरेंसिक नामक एक सहायक के माध्यम से अनुबंध करता है, जो संघीय एजेंसियों के लिए साइबर खुफिया और नेटवर्क रक्षा में विशेषज्ञ प्रतीत होता है, जर्नल रिपोर्ट।

अखबार से बात करने वाले ऐप डेवलपर्स ने दावा किया कि प्रबंधन प्रणालियों ने उन्हें एसडीके को अपने ऐप में लगाने के लिए भुगतान किया, जिससे कंपनी को डिवाइस उपयोगकर्ताओं से “गुप्त रूप से डेटा एकत्र” करने की अनुमति मिली। अन्य डेवलपर्स ने संकेत दिया कि कंपनी ने उन्हें गैर-प्रकटीकरण समझौतों पर हस्ताक्षर करने के लिए कहा था। पत्रिका द्वारा देखे गए दस्तावेजों से स्पष्ट रूप से पता चला कि कंपनी ज्यादातर “मध्य पूर्व, मध्य और पूर्वी यूरोप और एशिया” में रहने वाले उपयोगकर्ताओं पर डेटा चाहती थी।

रक्षा उद्योग में एक लंबा समय है, संकट संबंध डेटा ब्रोकरेज उद्योग के साथ – पत्रिका की कहानी गलत होने के बाद ट्विटर पर कुछ डेटा शोधकर्ताओं ने तुरंत इशारा किया:

खतरनाक एसडीके कोड वाले ऐप्स की पूरी सूची Reardon पर पाई जा सकती है लिखना AppCensus वेबसाइट पर।