Хиляди приложения за смартфони в онлайн магазините на Apple и Google съдържат компютърен код, разработен от технологична компания Pushwoosh, която се представя за базирана в Съединените щати, но всъщност е руска, пише "Ройтерс".

Центровете за контрол и превенция на заболяванията (CDC), основната агенция на Съединените щати за борба с основните заплахи за здравето, заявиха, че са били измамени да вярват, че Pushwoosh е базиран в столицата на САЩ. След като научи за руските корени, софтуерът Pushwoosh бе премахнат от седем публични приложения, позовавайки се на опасения за сигурността.

Американската армия каза, че е премахнала приложение, съдържащо Pushwoosh код през март поради същите опасения. Това приложение е използвано от войници в една от основните бази за бойна подготовка в страната.

Според документи на компанията, публично подадени в Русия, Pushwoosh е със седалище в сибирския град Новосибирск, където е регистрирана като софтуерна компания, която също извършва обработка на данни. В нея работят около 40 души и отчитат приходи от 143 270 000 рубли (2,4 милиона долара) миналата година. Pushwoosh е регистриран в руското правителство за плащане на данъци в Русия.

В социалните медии и в регулаторните документи на САЩ обаче се представя като американска компания, базирана по различно време в Калифорния, Мериленд и Вашингтон, окръг Колумбия.

Pushwoosh предоставя поддръжка за обработка на код и данни за разработчиците на софтуер, което им позволява да профилират онлайн активността на потребителите на приложения за смартфони и да изпращат персонализирани насочени известия от сървърите на Pushwoosh.

На уебсайта си Pushwoosh казва, че не събира чувствителна информация и не са открити доказателства, че Pushwoosh е обработвал неправилно потребителските данни. Руските власти обаче са принудили местните компании да предадат потребителски данни на вътрешните служби за сигурност.

Основателят на Pushwoosh, Макс Конев, каза пред "Ройтерс" в септемврийски имейл, че компанията не се е опитала да прикрие руския си произход. "Гордея се, че съм руснак и никога не бих крил това".

Той каза, че компанията "няма никаква връзка с руското правителство" и съхранява данните си в Съединените щати и Германия.

Експерти по киберсигурност обаче казаха, че съхраняването на данни в чужбина няма да попречи на руските разузнавателни агенции да принудят руска фирма да отстъпи достъп до тези данни.

Русия, чиито връзки със Запада се влошиха след превземането на Кримския полуостров през 2014 г. и нахлуването й в Украйна тази година, е световен лидер в хакерството и кибершпионажа, шпионирайки чужди правителства и индустрии, за да търси конкурентно предимство, според западни служители.

Pushwoosh кодът беше инсталиран в приложенията на широк набор от международни компании, влиятелни нестопански организации и правителствени агенции, от глобалната компания за потребителски стоки Unilever Plc и Съюза на европейските футболни асоциации (УЕФА) до политически могъщото американско оръжейно лоби, асоциация National Rifle (NRA) и Лейбъристката партия на Великобритания.

Бизнесът на Pushwoosh с американски правителствени агенции и частни компании може да наруши договорите и законите на Федералната търговска комисия на САЩ (FTC) или да предизвика санкции, казаха 10 правни експерти. ФБР, Министерството на финансите на САЩ и Федералната търговска комисия отказаха коментар.

Джесика Рич, бивш директор на Бюрото за защита на потребителите на Федералната търговска комисия, каза, че "този тип случаи попадат точно в правомощията на Федералната търговска комисия", която предприема мерки срещу нечестни или измамни практики, засягащи потребителите в САЩ.

Вашингтон може да избере да наложи санкции на Pushwoosh и има широки правомощия за това, казаха експерти по санкциите, включително вероятно чрез изпълнителна заповед от 2021 г., която дава на Съединените щати възможността да се насочат към руския технологичен сектор срещу злонамерена кибернетична дейност.

Pushwoosh кодът е вграден в почти 8000 приложения в магазините за приложения на Google и Apple, според Appfigures, уебсайт за разузнаване на приложения. Уебсайтът на Pushwoosh казва, че има повече от 2,3 милиарда устройства, изброени в своята база данни.

"Pushwoosh събира потребителски данни, включително прецизна геолокация, в чувствителни и правителствени приложения, което би могло да позволи инвазивно проследяване в мащаб", каза Джеръм Дангу, съосновател на Confiant, фирма, която проследява злоупотребата с данни, събрани във веригите за доставка на онлайн реклама.

"Не открихме никакви ясни признаци за измамни или злонамерени намерения в дейността на Pushwoosh, което със сигурност не намалява риска от изтичане на данни от приложението към Русия", добави той.

Google каза, че поверителността е "огромен фокус" ​​за компанията, но не отговори на искания за коментар относно Pushwoosh. Apple каза, че приема сериозно доверието и безопасността на потребителите, но по същия начин отказа да отговори на въпроси.

Кийр Джайлс, експерт по Русия в лондонския мозъчен тръст Chatham House, каза, че въпреки международните санкции срещу Русия, "значителен брой" руски компании все още търгуват в чужбина и събират лични данни на хората.

Като се имат предвид руските закони за вътрешна сигурност, "не би трябвало да е изненада, че със или без директни връзки с руски държавни шпионски кампании, фирмите, които обработват данни, ще се стремят да омаловажат руските си корени", каза той.

След като "Ройтерс" повдигна въпроса за руските връзки на Pushwoosh към CDC, здравната агенция премахна кода от своите приложения, тъй като "компанията представлява потенциален проблем за сигурността", каза говорителят Кристен Нордлунд.

"CDC смяташе, че Pushwoosh е компания, базирана в района на Вашингтон, окръг Колумбия", каза Нордлунд в изявление. Убеждението се основава на "изявления", направени от компанията, каза тя, без да уточнява.