俄羅斯軟件公司偽裝成美國公司將其代碼滲透到了美國陸軍和疾控中心的應用程序中
路透倫敦/華盛頓11月14日報道- -路透社發現,蘋果(AAPL.O)和谷歌(GOOGL.O) 在線商店中的數千個智能手機應用程序包含由科技公司Pushwoosh開發的計算機代碼,開發該代碼公司看似位于美國,但實際上卻屬于俄羅斯。根據應用情報公司Appfigures的數據,在蘋果app Store和谷歌的Play Store的近8000個應用中發現了Pushwoosh的代碼。如果此事坐實,可以說又是一起不亞于SolarWinds軟件供應鏈攻擊的經典操作。
美國應對重大健康威脅的主要機構美國疾病控制與預防中心(CDC)表示,他們被騙了,誤以為Pushwoosh的總部在美國首都華盛頓。在從路透社(Reuters)了解到Pushwoosh的俄羅斯血統后,該公司以安全問題為由,從七個面向公眾的應用程序中刪除了包含Pushwoosh代碼的軟件。
美國陸軍表示,出于同樣的考慮,它已在3月份下架了一款包含Pushwoosh代碼的應用程序。該國一個主要作戰訓練基地的士兵使用了這款應用。
據路透社(Reuters)查閱的在俄羅斯公開提交的公司文件顯示,Pushwoosh的總部設在新西伯利亞,在那里注冊為一家軟件公司,也從事數據處理業務。該公司約有40名員工,去年的收入為14327萬盧布(240萬美元)。Pushwoosh在俄羅斯政府注冊,在俄羅斯納稅。
然而,路透社發現,在社交媒體和美國監管備案文件中,它把自己標榜為一家美國公司,在不同時期分別位于加州、馬里蘭州和華盛頓特區。
Pushwoosh為軟件開發人員提供代碼和數據處理支持,使他們能夠分析智能手機應用程序用戶的在線活動,并從Pushwoosh服務器發送定制的推送通知。
Pushwoosh在其網站上表示,他們沒有收集敏感信息,路透社也沒有發現Pushwoosh不當處理用戶數據的證據。然而,俄羅斯當局已迫使當地公司將用戶數據移交給國內安全機構。
Pushwosh的創始人Max Konev在9月份的一封電子郵件中告訴路透社,該公司并沒有試圖掩蓋其俄羅斯血統。“我為自己是俄羅斯人感到驕傲,我絕不會隱瞞這一點。”
他說,該公司“與俄羅斯政府沒有任何形式的聯系”,并將數據存儲在美國和德國。
然而,網絡安全專家表示,將數據存儲在海外并不會阻止俄羅斯情報機構迫使一家俄羅斯公司放棄對這些數據的訪問權。
自2014年吞并克里米亞半島、并于今年入侵烏克蘭以來,俄羅斯與西方的關系一直在惡化。西方官員說,俄羅斯是黑客和網絡間諜活動的全球領導者,通過監視外國政府和行業來尋求競爭優勢。
巨大的數據庫
Pushwoosh代碼被安裝在大量國際公司、有影響力的非營利組織和政府機構的應用程序中,從全球消費品公司聯合利華(Unilever Plc)、歐洲足球協會(UEFA)到政治勢力強大的美國槍支游說團體、全國步槍協會(NRA)和英國工黨(Labour Party)。
10位法律專家對路透表示,pushwosh與美國政府機構和私營企業的業務可能違反合同和美國聯邦貿易委員會(FTC)的法律,或引發制裁。聯邦調查局、美國財政部和聯邦貿易委員會均拒絕對此置評。
聯邦貿易委員會消費者保護局前局長里奇(Jessica Rich)表示,"這類案件完全屬于聯邦貿易委員會的職權范圍",該委員會打擊影響美國消費者的不公平或欺詐行為。
制裁專家表示,華盛頓可以選擇對Pushwoosh實施制裁,而且有廣泛的權力這樣做,包括可能通過2021年的一項行政命令,讓美國有能力針對俄羅斯的技術部門進行惡意網絡活動。
應用情報網站Appfigures的數據顯示,Pushwoosh代碼已嵌入谷歌和蘋果應用商店的近8000個應用中。Pushwoosh的網站稱其數據庫中列出了超過23億臺設備。
Confiant公司的聯合創始人杰羅姆·丹古(Jerome Dangu)說:“Pushwoosh收集敏感和政府應用程序上的用戶數據,包括精確的地理位置,這可能允許大規模侵入式跟蹤。”Confiant公司追蹤在線廣告供應鏈中收集的數據被濫用的情況。
“我們還沒有在Pushwoosh的活動中發現任何明顯的欺騙性或惡意的跡象,這當然不能減少應用數據泄露到俄羅斯的風險,”他補充說。
谷歌表示,隱私是該公司“非常關注的問題”,但沒有回應有關Pushwoosh的置評請求。蘋果表示,它非常重視用戶的信任和安全,但同樣拒絕回答問題。
倫敦智庫查塔姆研究所(Chatham House)的俄羅斯問題專家基爾?賈爾斯(Keir Giles)表示,盡管國際社會對俄羅斯實施了制裁,但“大量”俄羅斯公司仍在海外開展貿易,并收集人們的個人數據。
他說,考慮到俄羅斯的國內安全法,“不管與俄羅斯國家間諜活動有沒有直接聯系,處理數據的公司都會熱衷于淡化自己的俄羅斯淵源,這都不足為奇。”
安全問題
美國CDC發言人克里斯汀·諾德倫德表示,在路透社提出Pushwoosh與美國疾病控制與預防中心的聯系后,該衛生機構從其應用程序中刪除了該代碼,因為“該公司存在潛在的安全隱患”。
諾德隆德在一份聲明中說:“疾控中心認為pushwosh是一家總部設在華盛頓特區的公司。”她說,這種看法是基于該公司的“陳述”,但沒有詳細說明。
包含Pushwoosh代碼的CDC應用程序包括該機構的主應用程序和其他用于共享廣泛健康問題信息的應用程序。一個是治療性傳播疾病的醫生。雖然美國疾病控制與預防中心也使用了該公司的通知來處理新冠肺炎等健康問題,但該機構表示,它“沒有與Pushwoosh共享用戶數據”。
美國陸軍對路透社表示,他們在3月份以“安全問題”為由,下架了一款包含Pushwoosh的應用程序。該應用程序是位于加州的美國國家訓練中心(NTC)使用的信息門戶,但沒有說明該應用程序在部隊中使用的范圍有多廣。
NTC是位于莫哈韋沙漠的一個主要作戰訓練中心,為部署前的士兵提供訓練,這意味著該中心的數據泄露可能會泄露即將到來的海外部隊調動。
美國陸軍發言人布萊斯·杜比(Bryce Dubee)表示,陸軍沒有遭遇“數據操作損失”,并補充說,該應用程序沒有連接到陸軍網絡。
包括歐足聯(UEFA)和聯合利華(Unilever)在內的一些大公司和組織表示,這些應用是由第三方為它們安裝的,或者它們以為自己在雇傭一家美國公司。
“我們與Pushwoosh沒有直接關系,”聯合利華在一份聲明中說,并補充說,Pushwoosh在“一段時間前”被從其一款應用程序中移除。
歐足聯表示,它與Pushwoosh的合同是“一家美國公司”。歐足聯拒絕透露是否知道pushush與俄羅斯的關系,但表示在與路透聯系后,正在重新審視與該公司的關系。
國家步槍協會(NRA)表示,其與該公司的合同已于去年結束,“不知道有任何問題”。
英國工黨沒有回應記者的置評請求。
安全研究員扎克·愛德華茲(Zach Edwards)說:“Pushwoosh收集的數據與Facebook、谷歌或亞馬遜可能收集的數據類似,但不同的是,美國的所有Pushwoosh數據都被發送到俄羅斯一家公司(Pushwoosh)控制的服務器上。”他是在非營利組織互聯網安全實驗室(Internet Safety Labs)工作時首次發現Pushwoosh代碼流行的。
俄羅斯國家通信監管機構Roskomnadzor沒有回應路透社的置評請求。
假地址,假資料
在美國監管備案文件和社交媒體上,Pushwoosh從未提及其與俄羅斯的關系。根據該公司提交給特拉華州州務卿的最新美國公司文件,該公司在Twitter上將“華盛頓特區”作為其所在地,并聲稱其辦公地址是馬里蘭州肯辛頓郊區的一所房子。該公司還在其Facebook和LinkedIn主頁上列出了馬里蘭州的地址。
肯辛頓的房子是科涅夫的一位俄羅斯朋友的家,這位朋友在不愿透露姓名的情況下接受了路透社記者的采訪。他說他和Pushwoosh沒有任何關系,只是同意讓科涅夫使用他的地址來接收郵件。
涅夫說,在冠狀病毒大流行期間,普什沃什已經開始使用馬里蘭州的地址“接收商業通信”。
他說,他現在在泰國經營Pushwoosh,但沒有提供證據證明它在泰國注冊。路透社在泰國公司登記處找不到該名稱的公司。
Pushwoosh在其注冊地特拉華州提交的八份年度文件中從未提及其總部位于俄羅斯,這一遺漏可能違反該州法律。
相反,2014年至2016年,Pushwoosh將加州聯合城的一個地址列為其主要營業地點。據聯合市官員稱,這個地址并不存在。
Pushwoosh使用據稱屬于華盛頓特區高管Mary Brown和Noah O’shea的LinkedIn賬戶來招攬銷售。但路透社發現,布朗和奧謝都不是真人。
這張屬于布朗的照片實際上是一名奧地利舞蹈老師的照片,由莫斯科的一名攝影師拍攝。這名攝影師告訴路透社,她不知道照片是如何出現在網站上的。
科涅夫承認這些賬戶不是真的。他說,Pushwoosh在2018年聘請了一家營銷機構制作這些廣告,目的是利用社交媒體來銷售Pushwoosh,而不是掩蓋該公司的俄羅斯血統。
領英表示,在收到路透社的警告后,已經刪除了相關賬戶。
