Facebook Pixel

Армія США й тисячі інших користувачів використовують російське ПЗ, замасковане під американське

Тисячі програм для смартфонів в інтернет-магазинах Apple та Google містять комп'ютерний код, розроблений технологічною компанією Pushwoosh, яка позиціює себе як американська, але насправді є російською.

Такий висновок зробило агентство Reuters, провівши власне розслідування.

Центри з контролю та профілактики захворювань (CDC) заявили, що їх обдурили, повідомивши, що Pushwoosh базується в столиці США. Дізнавшись від Reuters про російське коріння компанії, вони видалили код Pushwoosh із семи загальнодоступних застосунків, пославшись на міркування безпеки.

Армія США заявила, що в березні видалила програму, що містить код Pushwoosh, через ті самі побоювання. Цим застосунком користувалися солдати однієї з основних навчальних баз.

Російське коріння американської компанії

Згідно з документами Pushwoosh, опублікованими в Росії, її штаб-квартира розташована в Новосибірську, де вона зареєстрована як компанія-розробник програмного забезпечення, яка також займається опрацюванням даних. У компанії працюють приблизно 40 осіб, а виторг торік склав $2,4 млн. Pushwoosh офіційно зареєстрована та сплачує податки в Росії.

Однак у соціальних мережах і в документах регулювальних органів США вона представлена як американська компанія, що базувалася в різний час у Каліфорнії, Мериленді та Вашингтоні, округ Колумбія.

Pushwoosh надає підтримку опрацювання коду та даних для розробників ПЗ, дозволяючи їм профілювати онлайн-активність користувачів застосунків для смартфонів і відправляти індивідуальні push-сповіщення із серверів Pushwoosh.

На своєму сайті Pushwoosh заявляє, що не збирає конфіденційну інформацію, а Reuters не виявило доказів того, що Pushwoosh неправильно поводилася з даними користувачів. Проте російська влада давно змусила місцеві компанії передати дані про користувачів національним службам безпеки.

Засновник Pushwoosh Макс Конєв відповів Reuters у вересні, що компанія не намагалася приховати своє походження. «Я пишаюся тим, що я росіянин, і ніколи б цього не приховував».

Він сказав, що компанія «не має жодного відношення до російського уряду» і зберігає бази даних у США та Німеччині.

Проте експерти з кібербезпеки заявили, що зберігання даних за кордоном не завадить російським спецслужбам змусити російську фірму надати доступ до цих даних.

Чим небезпечне використання російського ПЗ

Код Pushwoosh було встановлено в застосунках широкого кола міжнародних компаній, впливових некомерційних і державних установ — від глобальної компанії з виробництва споживчих товарів Unilever і Союзу європейських футбольних асоціацій (УЄФА) до політично впливової американської Національної стрілецької асоціації (NRA) та Лейбористської партії Великої Британії.

Бізнес Pushwoosh із державними установами США та приватними компаніями може порушувати вимоги Федеральної торгової комісії США (FTC), повідомили 10 експертів із правових питань.

Сервіс Pushwoosh

Сервіс Pushwoosh

Джессіка Річ, колишня директорка Бюро із захисту прав споживачів FTC, заявила, що «справа такого типу підпадає під компетенцію FTC», яка розправляється з несправедливими діями, що вводять в оману та зачіпають споживачів у США.

Експерти із санкцій заявили, що Вашингтон може ухвалити рішення про введення санкцій щодо Pushwoosh і має широкі повноваження для цього.

За даними Appfigures, вебсайту з аналізу програм, код Pushwoosh було вбудовано майже у 8 тис. програм у магазинах Google та Apple. На вебсайті Pushwoosh йдеться, що в її базі даних зареєстровано понад 2,3 млрд пристроїв.

«Pushwoosh збирає дані користувача, включно з точною геолокацією, у конфіденційних і урядових застосунках, що може дати змогу здійснювати таємне масштабне відстеження», — сказав Джером Дангу, співзасновник Confiant, яка відстежує неправомірне використання даних, що збираються в ланцюжках онлайн-реклами.

У Google сказали, що конфіденційність перебуває в центрі «величезної уваги» компанії, але не відповіли на запитання про Pushwoosh. В Apple заявили, що серйозно ставляться до довіри та безпеки користувачів, але також відмовилися відповідати на запитання.

Кейр Джайлс, експерт з Росії з лондонського аналітичного центру Chatham House, сказав, що з огляду на російські закони про внутрішню безпеку «не має бути сюрпризом, що з прямими зв'язками або без прямих зв'язків із російськими державними шпигунськими кампаніями фірми, які опрацьовують дані, прагнутимуть приховувати своє російське коріння».

«Дані, які збирає Pushwoosh, є аналогічними тим, які можуть бути зібрані Facebook, Google або Amazon, але різниця полягає в тому, що всі дані Pushwoosh у США відправляються на сервери, контрольовані компанією Pushwoosh у Росії», — сказав Зак Едвардс, дослідник безпеки.

Підроблена адреса, підроблені профілі

У документах регулювальних органів США та соціальних мережах Pushwoosh ніколи не згадує про свої зв'язки з Росією. Компанія вказує «Вашингтон, округ Колумбія» як своє місцеперебування у твіттері та заявляє, що адреса її офісу — будинок у передмісті Кенсінгтона, штат Мериленд. Вона також вказує цю адресу у своїх профілях на Facebook і LinkedIn.

Насправді кенсінгтонський будинок – це будинок російського друга Конєва, який розмовляв із журналістом Reuters на умовах анонімності. Він сказав, що не має жодного стосунку до Pushwoosh і лише погодився дозволити Конєву використати його адресу для отримання пошти.

Конєв повідомив, що Pushwoosh почала використовувати адресу в Меріленді для отримання ділової кореспонденції під час пандемії коронавірусу. Він додав, що тепер управляє Pushwoosh з Таїланду, але не надав доказів того, що її зареєстровано там. Агентство Reuters не змогло знайти компанію з такою назвою в тайському реєстрі компаній.

Pushwoosh жодного разу не згадала, що базується в Росії, у восьми щорічних документах в американському штаті Делавер. Натомість вона вказала адресу в Юніон-Сіті, штат Каліфорнія, як своє основне місце роботи з 2014 по 2016 рік. За словами офіційних осіб Юніон-Сіті, цієї адреси не існує.

Pushwoosh використовувала облікові записи LinkedIn, які, ймовірно, належать двом її керівникам на ім'я Мері Браун і Ноа О'Ши. Але ні Браун, ні О'Ши – не справжні люди, з'ясували в Reuters.

Фото начебто Брауна насправді є фото австрійського вчителя танців. Його зробив московський фотограф, який сказав, що не розуміє, як воно опинилося на сайті.

Конєв визнав, що акаунти не були справжніми. Він сказав, що у 2018 році Pushwoosh винайняла маркетингове агентство для їхнього створення в спробі використати соціальні мережі для продажів Pushwoosh, а не для маскування російського походження компанії.

У LinkedIn заявили, що видалили облікові записи після отримання попередження від Reuters.

Подякувати 🎉