L’application iOS de l’armée américaine parmi des milliers qui ont utilisé sans le savoir du code russe

L'application iOS de l'armée américaine parmi des milliers qui ont utilisé sans le savoir du code russe

Une application iOS de l’armée américaine potentiellement sensible fait partie des milliers d’applications iOS et Android qui incluent le code de profilage d’utilisateur d’une société russe qui prétendait être américaine, ce qui soulève à la fois des problèmes de confidentialité et de sécurité.

Les Centers for Disease Control and Prevention (CDC) ont également utilisé le code dans sept de ses applications. Les deux organisations ont maintenant supprimé le code, mais il reste présent dans des milliers d’autres applications…

Arrière plan

Il est courant que les développeurs incluent dans leurs applications du code écrit par des tiers. Cela peut simplifier le processus d’exécution des tâches courantes, comme l’envoi d’une notification push, et peut permettre à une application d’utiliser des serveurs tiers pour le stockage et le traitement des données.

Le risque de le faire est qu’un développeur ne sache pas exactement ce que fait le code. Par exemple, en plus d’exécuter sa fonction déclarée, un code tiers peut également collecter des données à ses propres fins. Il y a eu de nombreux cas où des données de localisation ont été secrètement collectées et vendues à des courtiers en données, par exemple.

L’application iOS de l’armée américaine a utilisé du code russe

rapporte Reuters.

Des milliers d’applications pour smartphones dans les boutiques en ligne d’Apple et de Google contiennent du code informatique développé par une société technologique, Pushwoosh, qui se présente comme basée aux États-Unis, mais qui est en fait russe, a découvert Reuters.

Les Centers for Disease Control and Prevention (CDC), la principale agence américaine de lutte contre les principales menaces pour la santé, ont déclaré avoir été trompés en leur faisant croire que Pushwoosh était basé dans la capitale américaine. Après avoir appris ses racines russes auprès de Reuters, il a supprimé le logiciel Pushwoosh de sept applications destinées au public, invoquant des problèmes de sécurité.

L’armée américaine a déclaré avoir supprimé une application contenant le code Pushwoosh en mars en raison des mêmes préoccupations.

L’application iOS de l’armée américaine a été utilisée dans une importante base d’entraînement au combat.

L’armée a déclaré à Reuters qu’elle avait supprimé une application contenant Pushwoosh en mars, invoquant des « problèmes de sécurité ». Il n’a pas précisé dans quelle mesure l’application, qui était un portail d’information à utiliser dans son National Training Center (NTC) en Californie, avait été utilisée par les troupes.

Le NTC est un important centre d’entraînement au combat dans le désert de Mojave pour les soldats avant le déploiement, ce qui indique qu’une violation de données là-bas pourrait révéler les prochains mouvements de troupes à l’étranger.

Au total, le code a été intégré dans près de 8 000 applications, et la société affirme disposer de données sur des appareils 2,3 milliards.

L’article souligne qu’il n’y a aucune preuve d’intention malveillante ou trompeuse dans le code Pushwoosh, mais il était préoccupant qu’il se soit donné du mal pour prétendre appartenir aux États-Unis.

Pushwoosh a son siège social dans la ville sibérienne de Novossibirsk […] Sur les réseaux sociaux et dans les documents réglementaires américains, cependant, elle se présente comme une société américaine, basée à plusieurs reprises en Californie, dans le Maryland et à Washington, DC, a constaté Reuters.

La société a également créé de faux profils LinkedIn pour deux cadres fictifs, soi-disant basés à Washington, DC.

L’argent intelligent semble être sur l’entreprise qui tente d’échapper à d’éventuelles sanctions contre les entreprises russes, plutôt que de faire quoi que ce soit de plus néfaste, mais cela la mettrait tout de même en infraction avec la loi – et rendrait ses données accessibles de manière triviale par le gouvernement russe.

Photo : Service de diffusion d’informations visuelles de la Défense/Domaine public


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :