بهگفتهی محققان، این اپلیکیشنها مکان دقیق، ایمیل، شماره تلفن و اطلاعات دیگری را از کاربران اندروید میگرفتهاند. با اینکه گوگل این برنامهها را از فروشگاه خود حذف کرده است، اما همچنان بسیاری از کاربران آنها را روی دستگاههای خود دارند.
روزنامهی والاستریت، گزارش داده است که گوگل دهها اپلیکیشن که مورد استفادهی میلیونها کاربر قرار گرفته بودهاند را، پس از اینکه متوجه شده است آنها بهصورت مخفیانه دادهها را جمعآوری کردهاند، از فروشگاه خود خارج کرده است. محققان، اپلیکیشنهای آبوهوا، برنامههای رادار بزرگ راه، اسکنرهای QR، اپلیکیشنهای دعا و سایر برنامههایی که حاوی کد بودهاند را یافتهاند. این برنامهها میتوانند تا مکان دقیق کاربر، ایمیل، شماره تلفن و اطلاعات دیگری را جمعآوری کنند. بهنظر میرسد این کد توسط Measurement Systems، شرکتی که ظاهراََ با پیمانکاری دفاعی در ویرجینیا مرتبط است و اطلاعات سایبری و بسیاری از کارهای دیگر را برای آژانسهای ملی ایالات متحده انجام میدهد، ساخته شده است. با اینحال، این شرکت اتهامات را رد کرده است.
کد مورد نظر، توسط محققین سرژ اگلمن از دانشگاه کالیفرنیا بروکلی و جوئل ریدون از دانشگاه کلگری کشف شده است. آنها یافتههای خود را برای تنظیمکنندههای فدرال و گوگل، فاش کردند. اگلمن به WSJ گفت:
بیشک میتوان آن را بهعنوان یک بدافزار توصیف کرد.
گزارش شده است که شرکت Measurement Systems، به توسعهدهندگان پول پرداخت میکند تا کیتهای توسعه نرمافزاری خود را به برنامههایشان اضافه کنند. نهتنها برای اینکار به توسعهدهندگان هزینهای پرداخت میشود، بلکه آنها اطلاعات دقیقی را در مورد پایگاه کاربری خود دریافت میکنند. SDK در برنامههای دانلود شدهی حداقل 60 میلیون دستگاه تلفن همراه وجود داشته است. یکی از توسعهدهندگان اپلیکیشن دراینباره گفت که به او گفته شده است تا این کد را از طرف ISOها و شرکتهایی که مربوط به خدمات مالی و انرژی میشوند، دادههای کاربران را جمعآوری میکند. لازم به ذکر است که شرکت Measurements Systems اعلام کرد که اطلاعاتی را عمدتاََ از خاورمیانه، اروپای مرکزی و شرقی و در نهایت آسیا میخواهد.
پایگاه دادهای که ایمیل و شماره تلفن واقعی فردی را به تاریخچهی موقعیت مکانی GPS دقیق نگاشت میکند، واقعاََ ترسناک است، چراکه میتواند بهراحتی برای جستجوی تاریخچهی موقعیت مکانی افراد، تنها با استفاده از دانستن شماره تلفن و یا یا ایمیل آنها، دسترسی پیدا کند. ردون در وبلاگ تحقیقاتی AppCensus گفت که روزنامهنگاران، مخالفان و یا رقبای سیاسی، هدف قرار داده شدهاند.
اگرچه گوگل این برنامهها را از Play Store خارج کرده است، اما محققان دراینباره خاطرنشان کردهاند که آنها هنوز در میلیونها دستگاه وجود دارند. در همان زمان، آنها دریافت کردهاند که SDK پس از اینکه یافتههای آنها فاش شده است، جمعآوری دادههای کاربران را متوقف کرده است.
دامنهی شرکت Measurements Systems، توسط شرکتی بهنام Volstorm Holdings Inc که از طریق شرکتی تابع بهنام Packet Forensics LLC که با دولت فدرال سروکار دارد، ثبت شده است. WSJ دراینباره خاطر نشان کرد:
شرکتی بهنام Measurements Systems S de R.L و دو شرکت هلدینگ، بهعنوان مأمورین فهرست شدهاند که هر دو دارای آدرس استرلینگ، ویرجینیا با افراد وابسته به Volstrom هستند.
در بیانیهای، WSJ از طریق ایمیلی دربارهی سیستمهای اندازهگیری گفت:
ادعاهایی که شما در مورد فعالیتهای این شرکت ارائه میکنید نادرست است. علاوهبر آن، ما از هیچگونه ارتباط میان شرکت خود و پیمانکاران دفاعی ایالات متحده آگاه نیستیم و از اینکه شرکتی بهنام Vostrom Forensics چیست و یا چه ارتباطی با شرکت ما دارد، مطلع نیستیم.