路透伦敦/华盛顿11月14日报道- -路透社发现,苹果(AAPL.O)和谷歌(GOOGL.O) 在线商店中的数千个智能手机应用程序包含由科技公司Pushwoosh开发的计算机代码,开发该代码公司看似位于美国,但实际上却属于俄罗斯。根据应用情报公司Appfigures的数据,在苹果app Store和谷歌的Play Store的近8000个应用中发现了Pushwoosh的代码。如果此事坐实,可以说又是一起不亚于SolarWinds软件供应链攻击的经典操作。
美国应对重大健康威胁的主要机构美国疾病控制与预防中心(CDC)表示,他们被骗了,误以为Pushwoosh的总部在美国首都华盛顿。在从路透社(Reuters)了解到Pushwoosh的俄罗斯血统后,该公司以安全问题为由,从七个面向公众的应用程序中删除了包含Pushwoosh代码的软件。
美国陆军表示,出于同样的考虑,它已在3月份下架了一款包含Pushwoosh代码的应用程序。该国一个主要作战训练基地的士兵使用了这款应用。
据路透社(Reuters)查阅的在俄罗斯公开提交的公司文件显示,Pushwoosh的总部设在新西伯利亚,在那里注册为一家软件公司,也从事数据处理业务。该公司约有40名员工,去年的收入为14327万卢布(240万美元)。Pushwoosh在俄罗斯政府注册,在俄罗斯纳税。
然而,路透社发现,在社交媒体和美国监管备案文件中,它把自己标榜为一家美国公司,在不同时期分别位于加州、马里兰州和华盛顿特区。
Pushwoosh为软件开发人员提供代码和数据处理支持,使他们能够分析智能手机应用程序用户的在线活动,并从Pushwoosh服务器发送定制的推送通知。
Pushwoosh在其网站上表示,他们没有收集敏感信息,路透社也没有发现Pushwoosh不当处理用户数据的证据。然而,俄罗斯当局已迫使当地公司将用户数据移交给国内安全机构。
Pushwosh的创始人Max Konev在9月份的一封电子邮件中告诉路透社,该公司并没有试图掩盖其俄罗斯血统。“我为自己是俄罗斯人感到骄傲,我绝不会隐瞒这一点。”
他说,该公司“与俄罗斯政府没有任何形式的联系”,并将数据存储在美国和德国。
然而,网络安全专家表示,将数据存储在海外并不会阻止俄罗斯情报机构迫使一家俄罗斯公司放弃对这些数据的访问权。
自2014年吞并克里米亚半岛、并于今年入侵乌克兰以来,俄罗斯与西方的关系一直在恶化。西方官员说,俄罗斯是黑客和网络间谍活动的全球领导者,通过监视外国政府和行业来寻求竞争优势。
巨大的数据库
Pushwoosh代码被安装在大量国际公司、有影响力的非营利组织和政府机构的应用程序中,从全球消费品公司联合利华(Unilever Plc)、欧洲足球协会(UEFA)到政治势力强大的美国枪支游说团体、全国步枪协会(NRA)和英国工党(Labour Party)。
10位法律专家对路透表示,pushwosh与美国政府机构和私营企业的业务可能违反合同和美国联邦贸易委员会(FTC)的法律,或引发制裁。联邦调查局、美国财政部和联邦贸易委员会均拒绝对此置评。
联邦贸易委员会消费者保护局前局长里奇(Jessica Rich)表示,"这类案件完全属于联邦贸易委员会的职权范围",该委员会打击影响美国消费者的不公平或欺诈行为。
制裁专家表示,华盛顿可以选择对Pushwoosh实施制裁,而且有广泛的权力这样做,包括可能通过2021年的一项行政命令,让美国有能力针对俄罗斯的技术部门进行恶意网络活动。
应用情报网站Appfigures的数据显示,Pushwoosh代码已嵌入谷歌和苹果应用商店的近8000个应用中。Pushwoosh的网站称其数据库中列出了超过23亿台设备。
Confiant公司的联合创始人杰罗姆·丹古(Jerome Dangu)说:“Pushwoosh收集敏感和政府应用程序上的用户数据,包括精确的地理位置,这可能允许大规模侵入式跟踪。”Confiant公司追踪在线广告供应链中收集的数据被滥用的情况。
“我们还没有在Pushwoosh的活动中发现任何明显的欺骗性或恶意的迹象,这当然不能减少应用数据泄露到俄罗斯的风险,”他补充说。
谷歌表示,隐私是该公司“非常关注的问题”,但没有回应有关Pushwoosh的置评请求。苹果表示,它非常重视用户的信任和安全,但同样拒绝回答问题。
伦敦智库查塔姆研究所(Chatham House)的俄罗斯问题专家基尔•贾尔斯(Keir Giles)表示,尽管国际社会对俄罗斯实施了制裁,但“大量”俄罗斯公司仍在海外开展贸易,并收集人们的个人数据。
他说,考虑到俄罗斯的国内安全法,“不管与俄罗斯国家间谍活动有没有直接联系,处理数据的公司都会热衷于淡化自己的俄罗斯渊源,这都不足为奇。”
安全问题
美国CDC发言人克里斯汀·诺德伦德表示,在路透社提出Pushwoosh与美国疾病控制与预防中心的联系后,该卫生机构从其应用程序中删除了该代码,因为“该公司存在潜在的安全隐患”。
诺德隆德在一份声明中说:“疾控中心认为pushwosh是一家总部设在华盛顿特区的公司。”她说,这种看法是基于该公司的“陈述”,但没有详细说明。
包含Pushwoosh代码的CDC应用程序包括该机构的主应用程序和其他用于共享广泛健康问题信息的应用程序。一个是治疗性传播疾病的医生。虽然美国疾病控制与预防中心也使用了该公司的通知来处理新冠肺炎等健康问题,但该机构表示,它“没有与Pushwoosh共享用户数据”。
美国陆军对路透社表示,他们在3月份以“安全问题”为由,下架了一款包含Pushwoosh的应用程序。该应用程序是位于加州的美国国家训练中心(NTC)使用的信息门户,但没有说明该应用程序在部队中使用的范围有多广。
NTC是位于莫哈韦沙漠的一个主要作战训练中心,为部署前的士兵提供训练,这意味着该中心的数据泄露可能会泄露即将到来的海外部队调动。
美国陆军发言人布莱斯·杜比(Bryce Dubee)表示,陆军没有遭遇“数据操作损失”,并补充说,该应用程序没有连接到陆军网络。
包括欧足联(UEFA)和联合利华(Unilever)在内的一些大公司和组织表示,这些应用是由第三方为它们安装的,或者它们以为自己在雇佣一家美国公司。
“我们与Pushwoosh没有直接关系,”联合利华在一份声明中说,并补充说,Pushwoosh在“一段时间前”被从其一款应用程序中移除。
欧足联表示,它与Pushwoosh的合同是“一家美国公司”。欧足联拒绝透露是否知道pushush与俄罗斯的关系,但表示在与路透联系后,正在重新审视与该公司的关系。
国家步枪协会(NRA)表示,其与该公司的合同已于去年结束,“不知道有任何问题”。
英国工党没有回应记者的置评请求。
安全研究员扎克·爱德华兹(Zach Edwards)说:“Pushwoosh收集的数据与Facebook、谷歌或亚马逊可能收集的数据类似,但不同的是,美国的所有Pushwoosh数据都被发送到俄罗斯一家公司(Pushwoosh)控制的服务器上。”他是在非营利组织互联网安全实验室(Internet Safety Labs)工作时首次发现Pushwoosh代码流行的。
俄罗斯国家通信监管机构Roskomnadzor没有回应路透社的置评请求。
假地址,假资料
在美国监管备案文件和社交媒体上,Pushwoosh从未提及其与俄罗斯的关系。根据该公司提交给特拉华州州务卿的最新美国公司文件,该公司在Twitter上将“华盛顿特区”作为其所在地,并声称其办公地址是马里兰州肯辛顿郊区的一所房子。该公司还在其Facebook和LinkedIn主页上列出了马里兰州的地址。
肯辛顿的房子是科涅夫的一位俄罗斯朋友的家,这位朋友在不愿透露姓名的情况下接受了路透社记者的采访。他说他和Pushwoosh没有任何关系,只是同意让科涅夫使用他的地址来接收邮件。
涅夫说,在冠状病毒大流行期间,普什沃什已经开始使用马里兰州的地址“接收商业通信”。
他说,他现在在泰国经营Pushwoosh,但没有提供证据证明它在泰国注册。路透社在泰国公司登记处找不到该名称的公司。
Pushwoosh在其注册地特拉华州提交的八份年度文件中从未提及其总部位于俄罗斯,这一遗漏可能违反该州法律。
相反,2014年至2016年,Pushwoosh将加州联合城的一个地址列为其主要营业地点。据联合市官员称,这个地址并不存在。
Pushwoosh使用据称属于华盛顿特区高管Mary Brown和Noah O’shea的LinkedIn账户来招揽销售。但路透社发现,布朗和奥谢都不是真人。
这张属于布朗的照片实际上是一名奥地利舞蹈老师的照片,由莫斯科的一名摄影师拍摄。这名摄影师告诉路透社,她不知道照片是如何出现在网站上的。
科涅夫承认这些账户不是真的。他说,Pushwoosh在2018年聘请了一家营销机构制作这些广告,目的是利用社交媒体来销售Pushwoosh,而不是掩盖该公司的俄罗斯血统。
领英表示,在收到路透社的警告后,已经删除了相关账户。
参考资源
1、https://www.reuters.com/technology/exclusive-russian-software-disguised-american-finds-its-way-into-us-army-cdc-2022-11-14/
2、https://graphics.reuters.com/USA-RUSSIA/SOFTWARE /lgpdkmddbvo/index.html
3、https://appleinsider.com/articles/22/11/14/russian-notification-software-found-in-us-army-cdc-apps?utm_medium=rss
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
