بهتازگی یک گزارش جدید منتشر شده است که ادعا میکند شرکت موتور جستجوی روسی و شرکت تبلیغاتی Yandex ممکن است دادههای میلیونها کاربر iOS را جمعآوری کرده و به روسیه ارسال کرده باشد.
Yandex که بهعنوان نسخه روسی Google شناخته میشود، یک موتور جستجو است و ابزارهای تبلیغاتی و سایر خدمات یک موتور جستجو را پشتیبانی میکند. خدمات آن شامل AppMetrica API است که بسیاری از توسعهدهندگان از آن به عنوان راهی آسان برای بهدستآوردن دادههای تحلیلی برای برنامه خود استفاده میکنند.
بر اساس گزارش جدیدی از فایننشال تایمز، Zach Edwards، محقق امنیتی کشف کرده است که کدهای تجزیه و تحلیل Yandex در 52000 برنامه در نرم افزارهای اپل و گوگل تعبیه شده است. از آنجا، گزارش شده است که این برنامهها در دستگاه صدها میلیون مصرف کننده نصب شده است.
Yandex تصدیق کرد که دادههای جمعآوریشده از طریق API و سایر سرویسهای آن به سرورهای روسیه ارسال میشوند. این سازمان خاطرنشان کرد که این کار یک فرآیند بسیار سخت برای رسیدگی به درخواستهای دولتی برای دادهها است که شامل ارائه هرگونه درخواستی است که با الزامات رویهای و قانونی مرتبط مطابقت ندارد، میشود.
با این حال، کارشناسان امنیتی هشدار میدهند که پس از ذخیره دادهها در روسیه، Yandex نمیتواند برای جلوگیری از دستیابی دولت روسیه به آنها انجام دهد.
علاوه بر این، برخی از دادههایی که Yandex API جمعآوری میکند شامل ابردادههایی است که میتوانند برای شناسایی کاربران استفاده شوند.
ادواردز، محقق امنیتی گفت:
برای افرادی که دارای مشخصات پر خطر هستند یا در مشاغل پرمخاطب کار میکنند، استفاده از برنامههایی که این دادهها را به مسکو ارسال میکنند خطرناک است و میتواند بهطور بالقوه منجر به حملات به شبکههای خانگی یا سایر اشکال نظارت دیجیتال شود.
برنامههایی که از AppMetrica API استفاده میکنند شامل بازیها، خدمات پیامرسانی، ابزارهای اشتراکگذاری موقعیت مکانی و صدها برنامه شبکه خصوصی مجازی (VPN) است. هفت مورد از VPNهایی که محققان شناسایی میکنند به صراحت به مخاطبان اوکراینی را هدف قرار میدهند. مجموع دانلودهای برنامههای دارای API به صدها میلیون میرسد.
Yandex از ابزار خود دفاع کرد و آن را به کیتهای توسعه مشابه ارائه شده توسط Google و دیگران تشبیه کرد. همچنین اشاره کرد که هرگز هیچ اطلاعاتی در مورد کاربران هیچ برنامهای که AppMetrica روی آنها نصب شده است، ارائه نکرده است و هرگز از آنها همچنین درخواستی نشده است.
همچنین شایان ذکر است که خود اپل به نوبه خود میگوید که او میتواند AppMetrica API را با فناوری App Tracking Transparency متوقف کند.