The Wall Street Journal ha informado hoy que Google ha eliminado decenas de aplicaciones instaladas en Google Play Store debido a supuestos vínculos a través de terceros con agencias de seguridad estadounidenses. El software espía encontrado en las aplicaciones procede de la empresa panameña Measurement Systems S. de R.L., sociedad con supuestos vínculos a través de registros corporativos y web con un contratista de defensa de Virginia que realiza trabajos de inteligencia de ciberseguridad, defensa de redes e interceptación de inteligencia para las agencias de seguridad nacional de Estados Unidos.
El WSJ afirma que Management Systems pagó a desarrolladores de todo el mundo para que incorporaran su kit de desarrollo de software en sus aplicaciones. El SDK permitía a la empresa recopilar datos de los usuarios de las mismas. La empresa dijo a los desarrolladores que quería específicamente datos de Oriente Medio, Europa Central y Oriental y Asia.
El código se encontró dentro de varias aplicaciones de oración musulmana que se han descargado más de 10 millones de veces, una aplicación de detección de radares en autopistas y varias otras aplicaciones de consumo populares. En total, se calcula que las aplicaciones con el software espía se instalaron en al menos 60 millones de dispositivos Android.
Serge Egelman, investigador del Instituto Internacional de Ciencias Informáticas y de la Universidad de California en Berkeley, y Joel Reardon, de la Universidad de Calgary, descubrieron el código e informaron a Google, a los reguladores federales de la privacidad y al periódico.
Los dos investigadores dirigen una empresa de seguridad de aplicaciones móviles llamada AppCensus. En el blog de AppCensus, Reardon entra en más detalles. El software, descrito por Reardon como “Coulus Coelib”, recibe diversas formas de datos de los usuarios que ejecutan aplicaciones con el código incluido. El software recoge números de teléfono, direcciones de correo electrónico, datos GPS y detalles como los marcadores de identificación del teléfono.
El SDK de Measurement Systems también puede recoger información almacenada en el portapapeles del teléfono, como contraseñas, cada vez que se utiliza la función de cortar y pegar, y también tiene la capacidad de escanear determinadas partes del sistema del teléfono, incluidos los archivos almacenados en la carpeta de descargas de WhatsApp. WhatsApp es la aplicación de mensajería más popular del mundo.
“Una base de datos que mapea el correo electrónico y el número de teléfono reales de alguien con su historial de localización GPS precisa es particularmente aterradora, ya que podría utilizarse fácilmente para ejecutar un servicio para buscar el historial de localización de una persona con sólo conocer su número de teléfono o correo electrónico, lo que podría utilizarse para atacar a periodistas, disidentes o rivales políticos”, escribió Reardon.
Después de que los investigadores informaran a Google de sus hallazgos, las aplicaciones que ejecutaban el software fueron retiradas de Google Play Store el 25 de marzo. Un portavoz de Google dijo que las aplicaciones podrían volver a la tienda si se elimina el software de espionaje.
En respuesta al informe, el Departamento de Defensa dijo que compra “datos disponibles pública y comercialmente para alimentar el análisis de las amenazas extranjeras a la seguridad nacional.”
Measurement Systems ha negado la información, afirmando que las acusaciones son falsas y que no tiene vínculos con contratistas de defensa estadounidenses.
