Google heeft ruim een dozijn apps uit zijn Play Store verwijderd die illegaal gebruikersgegevens aftappen en doorsturen naar een derde partij. Daaronder zitten o.a. een weer-app, een QR-codescanner en diverse gebedsapps voor moslims.
Alle apps die in deze operatie verwijderd zijn uit de Play Store, verzamelden zonder toestemming belangrijke gegevens, zoals het telefoon- en het unieke IMEI-nummer van de smartphone, maar ook de actuele locatie en het e-mailadres van de eigenaar. Daarnaast pikten de apps alle informatie van het klembord: alles wat op de telefoon gekopieerd en geplakt wordt. Daar zitten vaak inlognamen en wachtwoorden bij. Al deze verzamelde data werden automatisch geüpload naar de servers van een in Panama gevestigd bedrijf. Deze spyware is vorige week ontdekt door twee universiteitsonderzoekers die hun bevindingen deelden met Google. De BBC bericht hierover. Sommige van die apps waren al meer dan tien miljoen keer gedownload.
SDK
De software die dit alles mogelijk maakte, zat verborgen in de SDK (Software Development Kit) ‘coelib.c.couluslibrary’ die bij het ontwikkelen van de betreffende apps gebruikt werd. De onderzoekers troffen de verdachte SDK aan op een hulpforum voor appbouwers. De SDK werd op dat forum aangeprezen als een tool waarmee je via de app meer geld kunt verdienen aan je gebruikers. De onderzoekers vonden daarbij ook een link die na flink wat spitwerk bleek te verwijzen naar het Panamese bedrijf Measurement Systems.
Wie het technische verhaal - inclusief de code - van de onderzoekers Reardon en Egelman wil lezen, vindt dat hier.
Verdachte link met de VS
De twee onderzoekers ontdekten ook dat het in Panama gevestigde Measurement Systems niet op zichzelf staat, maar eigendom is van het bedrijf VOSTROM Holdings uit de Amerikaanse staat Virginia. De Wall Street Journal is er inmiddels achter gekomen dat deze holding weer via een andere onderneming gelieerd is aan de Amerikaanse overheid.
Onder de apps die uit de Google Play Store zijn verbannen, zitten zoals gezegd een QR-/barcodescanner, een weer-app en een app die snelheidscontrolecamera’s detecteert. Maar, en dit is opvallend, ook meerdere gebedsapps voor moslims. Een voorbeeld daarvan is de Qibla Compass Ramadan 2022-app, een app die onder meer de richting van Mekka aanwijst en die lokale gebedstijden opsomt. Andere moslimgerichte apps zijn Al-Moazin, AI Quran en Full Quran, apps met Koranverzen.
Zonder nu direct een complottheorie te willen opwerpen, zou het voor de Amerikaanse overheid interessant kunnen zijn om de locatiegegevens van moslims te bemachtigen. Dit is namelijk exact wat er twee jaar geleden gebeurde toen een aantal van dergelijke ‘moslimapps’ geïnfecteerd bleken met de beruchte X-Mode locatiesoftware. De locatiegegevens die op die manier van smartphones werden afgetapt, werden onder andere gebruikt door Amerikaanse inlichtingendiensten en het leger, wij schreven hier destijds over.
Ook die X-Mode-software bevattende apps zijn toen door Google en Apple uit de appwinkel verwijderd, om dezelfde reden die Google nu opvoert: dat de apps niet duidelijk zijn over wat ze allemaal verzamelen en met wie ze die informatie delen.