機密情報を含む可能性のある米陸軍の iOS アプリは、米国企業を装ったロシア企業によるユーザープロファイリングコードを含む iOS および Android アプリ数千個のうちの 1 つであり、プライバシーとセキュリティの両方に関する懸念が生じている。

米国疾病予防管理センター（CDC）も、7つのアプリでこのコードを使用していました。両機関は現在このコードを削除していますが、他の数千ものアプリには依然として残っています…

背景

開発者がアプリにサードパーティ製のコードを組み込むことはよくあります。これにより、プッシュ通知の送信などの一般的なタスクの実行プロセスが簡素化され、アプリがデータの保存と処理にサードパーティのサーバーを利用できるようになります。

これを行うリスクは、開発者がコードの動作を正確に把握できない可能性があることです。例えば、サードパーティのコードは、規定の機能を実行するだけでなく、独自の目的のためにデータを収集する可能性があります。例えば、位置データが密かに収集され、データブローカーに販売された事例は数多くあります。

ロイター通信が報じた。

ロイター通信の調べによると、アップルとグーグルのオンラインストアにある数千のスマートフォン用アプリケーションには、米国を拠点としているように見せかけながら実際はロシアのテクノロジー企業「プッシュウーシュ」が開発したコンピューターコードが含まれている。

米国疾病予防管理センター（CDC）は、主要な健康上の脅威と闘う主要な機関であり、プッシュウーシュが米国の首都に拠点を置いていると誤解させられていたと発表した。ロイター通信からプッシュウーシュのロシア起源説を知ったCDCは、セキュリティ上の懸念を理由に、一般向けアプリ7つからプッシュウーシュのソフトウェアを削除した。

米陸軍は、同様の懸念から、3月にプッシュウーシュのコードを含むアプリを削除したと述べた。

米陸軍の iOS アプリが主要な戦闘訓練基地で使用されました。

陸軍はロイター通信に対し、3月に「セキュリティ上の問題」を理由にプッシュウーシュを含むアプリを削除したと述べた。カリフォルニア州の国立訓練センター（NTC）で使用するための情報ポータルだったこのアプリが、兵士らにどの程度利用されていたかについては明らかにしていない。

NTCはモハーベ砂漠にある派遣前の兵士のための主要な戦闘訓練センターであり、ここでのデータ漏洩は今後の海外部隊の動きを明らかにする可能性がある。

合計で約8,000個のアプリにコードが埋め込まれており、同社によれば23億台のデバイスのデータが保管されているという。

記事では、プッシュウーシュのコードには悪意や欺瞞の意図を示す証拠は何も見当たらないが、米国所有であるかのように見せかけるためにかなりの努力を払っていた点が懸念されると強調している。

プッシュウーシュの本社はシベリアのノボシビルスク市にある[…]。しかし、ソーシャルメディアや米国の規制当局への提出書類では、同社は米国企業であると紹介されており、カリフォルニア州、メリーランド州、ワシントンD.C.に拠点を置いていた時期もあったことがロイターの調べで分かった。

同社はまた、ワシントンDCに拠点を置いているとされる架空の幹部2名の偽のLinkedInプロフィールも作成した。

同社はもっと悪質なことをするのではなく、ロシア企業に対する制裁を回避しようとしているというのが賢明な見方のようだが、そうした行為をすれば法律違反となり、ロシア政府が同社のデータに簡単にアクセスできるようになる。

写真: 国防視覚情報配信サービス/パブリックドメイン

havebin.com を Google ニュース フィードに追加します。