Как стало известно журналу Vice, американские военные покупают информацию о местоположении и перемещениях пользователей из различных приложений. Самым популярным приложением, связанным с такого рода продажей данных, стал сервис для мусульман Muslim Pro, который скачали более 98 млн раз по всему миру. Кроме того, военные покупают информацию из рейтингов и социальных приложений в Колумбии, Турции, Египте и других странах.
По меньшей мере еще пять мусульманских молитвенных или подобных приложений работали с брокером данных X-Mode, который продавал данные о местоположении военным подрядчикам и, как следствие, военной разведке США, согласно многочисленным техническим анализам.
Изучение того, как данные используются мусульманскими молитвенными приложениями, усилилось в ноябре, когда в отчете было обнаружено, что популярное приложение Muslim Pro продавало данные, которые позже попадут в спецслужбы США.
Последние сообщения о других подобных приложениях следуют за публикацией служебной записки офиса сенатора Рона Вудена, в которой говорится, что сотрудникам Оборонного разведывательного управления (DIA) было предоставлено разрешение запрашивать данные о местоположении телефонов США пять раз за последние два года.
Использование приложения для проверки времени молитвы не должно привести к тому, что мусульманин станет жертвой правительственной слежки
заявил Нихад Авад, национальный исполнительный директор Совета по американо-исламским отношениям.
Связи X-Mode с военными подрядчиками (и, как следствие, с американскими военными) были впервые раскрыты Motherboard, которая впервые сообщила, что популярное молитвенное приложение MuslimPro с более чем 98 миллионами загрузок по всему миру отправляет в X-Mode детализированные данные о местонахождениях.
Новые приложения включают в себя “Prayer Times: Qibla Compass, Quran MP3 & Azan;”, “Qibla Finder: Prayer Times, Quran MP3 & Azan;” и “Qibla Compass — Prayer Times , Quran MP3 & Azan”. Qibla Compass, самое популярное приложение из этого списка, было загружено более 5 миллионов раз, согласно странице приложения в Google Play Store.
Qibla Compass передает данные в X-Mode
В начале ноября Motherboard впервые выявила, что Qibla Compass передает данные в X-Mode. В то время разработчик Qibla Compass, компания Appsourcehub, базирующаяся в Ахмедабаде, Индия, не ответила на запрос о комментариях. Теперь анализ Android-приложений, содержащих код, связанный с X-Mode, от ExpressVPN и фирмы по кибербезопасности the Defensive Lab Agency подтверждает и дополняет выводы Motherboard.
Motherboard загружала старые версии приложений с сайтов архива APK, затем запускала их на телефоне Android и перехватывала трафик приложений. Это подтвердило, что версии приложений, доступных в 2020 году, действительно отправляли данные о местоположении в X-Mode. Текущие версии, доступные в Play Store, не передают такие данные. В декабре Apple и Google запретили X-Mode в своих магазинах приложений после расследования Motherboard Muslim Pro.
Что же предпринял Google?
Компания YanFlex, разработчик приложения CPlus для Craigslist, также, похоже, не знала, что X-Mode работает с военными. Представитель компании в комментарии заявил, что эти сведения, скорее всего, неправда. Другие компании, в частности, создатель счётчика шагов Accupedo, отказались комментировать свои отношения с X-Mode.
Но некоторые приложения, которые собирают данные о местоположении от имени X-Mode, по сути, скрывают передачу данных. Muslim Pro не упоминает X-Mode в своей политике конфиденциальности и не предоставляет никаких предупреждений при установке, хотя подтверждает своё сотрудничество с Tutela и Quadrant, двумя другими компаниями, занимающимися данными о местоположении. Iran Social также не раскрывает информацию о продаже данных о местоположении.
Текущая версия Qibla Compass действительно предоставляет данные двум другим компаниям – Opensignal и Tutela. Обе эти фирмы работают над тестированием сетевого подключения телефонов, на которых установлены приложения с их кодом. Tutela в свою очередь продает информацию телекоммуникационной отрасли.
TechCrunch, который также получил копию ExpressVPN и исследования Агентства Defense Lab, подтвердили, что одно приложение для карт метро США с более чем 100 000 установками было загружено из Google Play, несмотря на то, что приложение все еще отправляло данные о местоположении в X-Mode. New York Subway, приложение для навигации по Нью-Йоркской транспортной системе, запросило разрешение на отправку данных специально в X-Mode для рекламы и маркетинговых исследований, но не упомянуло о своей правительственной работе. Производитель приложений Desonline удалил ссылки на X-Mode из своей политики конфиденциальности вскоре после того, как TechCrunch запросил комментарий. Google подтвердил, что принял меры по удалению приложения из Google Play.
“Запрет на SDK X-Mode имеет более широкие последствия для экосистемы, учитывая, что X-Mode собирает такие же данные мобильных приложений, как и большинство рекламных SDK. Apple и Google создали прецедент, когда они могут определять способность частных предприятий собирать и использовать данные мобильных приложений, даже если большинство наших издателей имели вторичное согласие на сбор и использование данных о местоположении”,- говорится в заявлении генерального директора X-Mode Джоша Антона.
Motherboard ранее обнаружил, что приложения, отправленные в X-Mode, не получали информированного согласия на передачу данных о местоположении пользователей. В этих последних тестах Motherboard обнаружил, что версия приложения Qibla Finder начала отправлять данные в X-Mode еще до того, как пользователь принимает политику конфиденциальности в приложении.
Что же предпринял Apple?
В предстоящем изменении iOS в начале весны Apple говорит, что пользователи смогут видеть, какие приложения запросили разрешение на их отслеживание. В нем также говорилось, что компания ожидает, что разработчики приложений поймут, какие наборы разработки программного обеспечения (SDK), пакеты кода от таких компаний, как X-Mode, они используют, и включат уведомление пользователя, если это так.
