Oficiální aplikace americké armády používala ruský kód. Roky o tom nikdo nevěděl

,

Oficiálně schválená aplikace byla vytvořena s využitím kódu technologické společnosti s ruskými kořeny, která poskytuje populární nástroje pro vývojáře aplikací k zasílání přizpůsobených oznámení svým uživatelům, jak píše servet 9to5mac.

Nejméně 1 000 lidí si stáhlo aplikaci, která doručovala aktualizace pro vojáky v Národním výcvikovém středisku na základně Fort Irwin v Kalifornii, což je místo, kde si vojáci před odjezdem do zámoří testují svou zdatnost na bojišti. Podle armádního představitele a mluvčího služby aplikace v roce 2019 vypadla z používání kvůli rutinní obměně personálu a dnes by pravděpodobně nebyla schválena kvůli přísnějším IT protokolům v posledních letech.

Aplikaci vytvořila společnos Pushwoosh, která vystupovala jako americká firma. Se společnost chlubí 80 000 klienty, mezi něž patří Unilever, Deloitte, Coca-Cola, McDonald’s, FIBA, Sport1 a SPAR.

Ve skutečnosti je společnost Pushwoosh ruská společnost se sídlem v Novosibirsku na Sibiři. Zaměstnává přibližně 40 lidí. Je také registrována k placení daní ruské vládě, a proto se na ni vztahují stejná pravidla jako na ostatní ruské společnosti, zejména sdílení údajů o uživatelích s ruskou vládou na vyžádání.

Ruský kód v aplikaci

Je běžné, že vývojáři do svých aplikací zahrnují kód napsaný třetími stranami. To může zjednodušit proces provádění běžných úloh, jako je odeslání oznámení a může umožnit aplikaci používat servery třetích stran pro ukládání a zpracování dat.

Riziko takového postupu spočívá v tom, že vývojář nemusí přesně vědět, co daný kód dělá. Kód třetí strany může například kromě plnění své stanovené funkce také shromažďovat data pro své vlastní účely. Bylo například zaznamenáno mnoho případů tajného shromažďování údajů o poloze a jejich prodeje zprostředkovatelům údajů.

men in camouflage uniform standing near white wall
Foto: Clay Banks / Unsplash

Nejvíce znepokojující je spojení společnosti s americkými vládními agenturami. Aplikace americké armády, kterou vojáci používali jako informační portál v Národním výcvikovém centru, obsahovala kód společnosti Pushwoosh, ale na začátku tohoto roku byla kvůli „bezpečnostním problémům“ odstraněna. Centrum pro kontrolu a prevenci nemocí (CDC) přiznalo, že si myslelo, že Pushwoosh je americká společnost, a nyní odstranilo kód společnosti z několika veřejně přístupných aplikací. Další společnosti, včetně UEFA a Unileveru, se spoléhaly na třetí strany, které pro ně vytvářely aplikace, jež nakonec obsahovaly kód společnosti Pushwoosh.

Zdroj: redakce, 9to5mac.com

Diskuze Vstoupit do diskuze