ייתכן שחברת מנועי החיפוש הרוסית וחברת הפרסום Yandex אוספת נתונים ממיליוניiOSמשתמשים ושליחתו לרוסיה, נטען בדוח חדש.
Yandex - כאמור הגרסה הרוסית של גוגל - מתחזקת מנוע חיפוש, כלי פרסום ושירותים אחרים. השירותים שלה כוללים את AppMetrica API, שבו מפתחים רבים משתמשים כדרך קלה להשיג נתוני ניתוח עבור האפליקציה שלהם.
לְפִידו"ח חדשמִןהפייננשל טיימס, חוקר האבטחה זאק אדוארדס גילה שקוד הניתוח של Yandex מוטבע ב-52,000 אפליקציות בתוכנות אפל וגוגל. משם, על פי הדיווחים, זה הגיע ל"מאות מיליוני צרכנים".
Yandex הודתה כי נתונים שנאספו דרך ה-API שלה ושירותים אחרים נשלחים לשרתים רוסיים. היא ציינה כי היה לה תהליך "קפדני מאוד" לטיפול בבקשות ממשלתיות לנתונים, הכולל ביטול כל בקשות שאינן עומדות ב"דרישות הפרוצדורליות והחוקיות הרלוונטיות".
עם זאת, מומחי אבטחה מזהירים כי ברגע שהנתונים מאוחסנים ברוסיה, Yandex יכול לעשות מעט כדי למנוע מממשלת רוסיה להשיג אותם.
בנוסף, חלק מהנתונים שה-API של Yandex אוסף כוללים מטא נתונים שניתן להשתמש בהם כדי לזהות משתמשים.
"עבור אנשים עם פרופיל איום גבוה או עובדים בעבודות בעלות פרופיל גבוה, שימוש באפליקציות ששולחות את הנתונים האלה למוסקבה הוא מסוכן ועלול להוביל להתקפות על רשתות ביתיות או צורות אחרות של מעקב דיגיטלי", אמר אדוארדס, חוקר האבטחה. שגילה את שכיחות הקוד.
האפליקציות המשתמשות ב-API של AppMetrica כוללות משחקים, שירותי הודעות, כלים לשיתוף מיקום ו"מאות" אפליקציות רשת וירטואלית פרטית (VPN). שבעה מה-VPNs שהחוקרים מזהים מכוונים במפורש לקהל אוקראיני. סך ההורדות של אפליקציות עם ה-API מגיעות למאות מיליונים.
Yandex הגנה על הכלי שלה, והשווה אותו לערכות פיתוח דומות שסופקו על ידי גוגל ואחרות. היא גם ציינה כי היא "מעולם לא מסרה מידע על משתמשי אפליקציות כלשהן עם AppMetrica מותקנת עליהם, ואף לא התבקשנו לעשות זאת".
אפל, מצידה, אומרת שניתן לעצור את ה-API של AppMetrica באמצעות טכנולוגיית שקיפות מעקב אחר אפליקציות משלה.
