Matic Tomšič

Četrtek,
17. 11. 2022,
10.55

Osveženo pred

2 leti

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Red 10

19

Natisni članek

Natisni članek

digizgodbe aplikacije Rusija

Četrtek, 17. 11. 2022, 10.55

2 leti

Padla je maska tajne ruske operacije: segla je v Slovenijo

Matic Tomšič

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Red 10

19

Moskva, Rusija, Kremlin, Lomonosov | Podjetje Pushwoosh je prek osem tisoč aplikacij, v katere je vključena njihova programska koda, zbiralo zelo natančne podatke o uporabnikih pametnih telefonov. Pushwoosh se na spletni strani hvali, da se je njihova programska koda znašla že na več kot dveh milijardah pametnih telefonov po vsem svetu. Po poročanju Reutersa za zdaj še ni dokazov, da bi bila njihova programska koda kakorkoli zlorabljena, a da tako rekoč ni zagotovil oziroma da to ne pomeni zmanjšanja tveganja, da bi podatki o uporabnikih odtekali v Rusijo. | Foto Reuters

Podjetje Pushwoosh je prek osem tisoč aplikacij, v katere je vključena njihova programska koda, zbiralo zelo natančne podatke o uporabnikih pametnih telefonov. Pushwoosh se na spletni strani hvali, da se je njihova programska koda znašla že na več kot dveh milijardah pametnih telefonov po vsem svetu. Po poročanju Reutersa za zdaj še ni dokazov, da bi bila njihova programska koda kakorkoli zlorabljena, a da tako rekoč ni zagotovil oziroma da to ne pomeni zmanjšanja tveganja, da bi podatki o uporabnikih odtekali v Rusijo.

Foto: Reuters

Družba Pushwoosh razvijalcem aplikacij za pametne telefone ponuja rešitev za sledenje navadam uporabnikov in pošiljanje obvestil. Pushwoosh se je s fiktivnimi naslovi in izmišljenimi direktorji dolgo izdajal za ameriško podjetje, a gre v resnici za korporacijo s sedežem v ruskem mestu Novosibirsk, ki davke plačuje v Rusiji. Programsko kodo podjetja Pushwoosh sta v svojih aplikacijah med drugim uporabljala ameriška vojska in evropska krovna nogometna zveza UEFA. Mi smo jo našli tudi v aplikaciji slovenskega trgovca, ki jo uporablja več kot sto tisoč Slovencev. Po našem opozorilu je trgovec prekinil sodelovanje s Pushwooshem.

Da je Pushwoosh rusko in ne ameriško podjetje, je v ponedeljek razkrila reportaža tiskovne agencije Reuters. Družba, ki ponuja rešitve za dostavo obvestil na pametne telefone (push notification) in sledenje spletnim aktivnostim uporabnikov ter ki se hvali, da ima v svoji bazi podatkov registrirani že več kot dve milijardi mobilnih naprav, je svojo programsko kodo prodala razvijalcem okrog osem tisoč različnih aplikacij za platformi Android in iOS.

Pushwoosh se na spletu hvali, da sodeluje z več kot 80 tisoč strankami, med katerimi so tudi znana imena, kot so Unilever, Deloitte, Coca-Cola, McDonald's. | Foto: Matic Tomšič / Posnetek zaslona Pushwoosh se na spletu hvali, da sodeluje z več kot 80 tisoč strankami, med katerimi so tudi znana imena, kot so Unilever, Deloitte, Coca-Cola, McDonald's. Foto: Matic Tomšič / Posnetek zaslona

Med strankami Pushwoosh so bili med drugim vojska Združenih držav Amerike, ameriški center za nadzor nad nalezljivimi boleznimi (CDC), krovna evropska nogometna zveza UEFA, britanska multinacionalka Unilever. Po poročanju Reutersa so nekatere stranke Pushwoosha v preteklih mesecih posumile, da njihov poslovni partner morda ni to, za kar se izdaja, in prekinile sodelovanje, nekatere pa niso vedele, s čim imajo opravka, saj so aplikacije zanje razvijale tretje osebe.

Pushwoosh se je prebil tudi do Slovenije, sledil je takojšen ukrep

Na seznamu okrog osem tisoč aplikacij, ki naj bi uporabljale programsko kodo podjetja Pushwoosh – za zdaj sicer ni znakov, da je bilo z njo karkoli narobe oziroma da so bili v ozadju nečedni nameni – smo odkrili tudi aplikacijo enega od večjih slovenskih trgovcev, ki ima v Sloveniji več kot sto tisoč uporabnikov samo na platformi Android in še več tisoč na platformi iOS.

Z ogledom izvorne kode aplikacije slovenskega trgovca smo potrdili, da je bila v aplikacijo res vključena koda podjetja Pushwoosh:

Push | Foto: Matic Tomšič Foto: Matic Tomšič
Pri trgovcu so za Siol.net v sredo pojasnili, da so res sodelovali s podjetjem Pushwoosh, a da so takoj po tem, ko so z naše strani izvedeli za razkritje Reutersa, prenehali uporabljati njihove storitve. Dodali so, da pred tem niso imeli nobenih indicev o zlorabi ali zavajanju podjetja Pushwoosh. "Zelo resno jemljemo transparentno delovanje naših partnerjev in varstvo osebnih podatkov," so dodali. 

Nabiralnik v ZDA, zaposleni v Rusiji, šefa izmišljena

Pushwoosh nikjer na spletni strani, vsaj do Reutersove reportaže, ni razkrival podatka, da je v ozadju rusko podjetje z nekaj deset zaposlenimi, ki deluje v Novosibirsku.

Kot sedež podjetja so navajali prestolnico ZDA Washington, glavno pisarno pa naj bi imeli v ameriški zvezni državi Maryland, a preiskava Reutersa je pokazala, da tam živi zgolj prijatelj ustanovitelja Pushwoosha, ki je v njegovem imenu sprejemal pošto in ki mu tudi posoja svoj e-poštni naslov. Pushwoosh je kot enega od uradnih naslovov podjetja navedel tudi hišno številko v kalifornijskem mestu Union City, ki pa ne obstaja. 

Obenem si je Pushwoosh izmislil tudi identiteti dveh domnevnih šefov podjetja, piše Reuters. Mary Brown in Noah O'Shea v resnici ne obstajat. Pri prvi so ukradli fotografijo avstrijske plesalke, ki je bila posneta v Moskvi, fotografija drugega pa je bila najverjetneje ustvarjena celo s pomočjo umetne inteligence:

Ustanovitelj Pushwoosha Max Konev se je po poročanju Reutersa branil, da je ponosen na dejstvo, da je Rus, in da ruskega porekla podjetja ni nikoli skrival, vendar pa so pri Reutersu opozorili, da nikjer v uradnih dokumentih, s katerimi se Pushwoosh predstavlja v ZDA, ni omenjeno, da v ozadju dela podjetje iz Novosibirska, ki davke plačuje v Rusiji. To je pomemben podatek, saj je glede na rusko zakonodajo podjetje lahko podvrženi uradni zahtevi za deljenje informacij o uporabnikih storitve Pushwoosh z Moskvo. Za zdaj sicer še ni pokazateljev, da bi se to zgodilo oziroma da bi Pushwoosh podatke delil z rusko vlado, so pojasnili pri Reutersu. 

Pri Pushwooshu se nadalje branijo, da podatkov nikoli niso pošiljali v Rusijo, saj da imajo podatkovna centra v Nemčiji in ZDA. Toda preden se je Pushwoosh imenoval Pushwoosh in se izdajal za ameriško podjetje, je bil zelo odkrito Arello Mobile iz Novosibirska, ki pa je podatke vsekakor obdeloval v Rusiji (vir).