Спецпроекты

Безопасность Техника Мобильность

В сотни мобильных приложений внедрено шпионское ПО, разработанное военными США

Компания, созданная отставными офицерами армии США, продает SDK для коммерческих приложений, позволяющих отслеживать пользователей в интересах рекламодателей. С правительством компания тоже сотрудничает, хотя и непублично.

500 шпионов

Компания Anomaly Six, чья штаб-квартира располагается в штате Вирджиния, интегрировала свой проприетарный SDK (от англ. software development kit, комплект средств разработки) в сотни мобильных приложений, тем самым обеспечивая им функции слежки за пользователям.

По данным Wall Street Journal, разработчики приложений за деньги позволяют коммерческим компаниям устанавливать это ПО в их разработки, чтобы те могли собирать данные о пользователях таких приложений, а затем продавать эти данные рекламодателям. Anomaly Six отрицает, что предоставляет эти данные также правительству США, хотя признает наличие контрактов с правительственными агентствами.

Основателями компании являются двое выходцев из армейских структур США — Брэндан Хафф (Brandan Huff) и Джеффри Хайнц (Jeffery Heinz). Оба ранее работали в другой компании, специализирующейся на средствах электронного слежения, — Babel Street. Именно они отвечали за взаимодействие Babel с силовыми ведомствами.

smartfony600.jpg
Разработчики сотен приложений за свой счет ставят шпионское ПО офицеров США

Система Babel Street Locate X позволяла отслеживать смартфоны пользователей с помощью коммерческих данных из установленных на эти смартфоны приложений. ФБР, Пентагон и другие ведомства выплачивали миллионы долларов по непубличным контрактам с Babel Street, чьи условия никогда не раскрывались.

В 2018 г. Babel Streets подала иск против Anomaly Six, согласно которому основанная выходцами из Babel новая компания занялась разработкой конкурирующего решения, что могло указывать на нарушение условий контракта между Babel Street и ее бывшими работниками. Иск был урегулирован во внесудебном порядке за неизвестную сумму.

Политика продажи деперсонализированных данных из мобильных приложений рекламодателям довольно широко распространена: для разработчиков это чрезвычайно соблазнительный источник дохода, пусть и находящийся в «серой» зоне и с этической, и с юридической точек зрения.

Несекретно, но конфиденциально

Контракты с Anomaly Six, если таковые имеются, не являются публичными — ни в каких документах о целевых государственных расходах или закупках, размещенных в открытом доступе, эта компания не фигурирует. Представители самой компании указывают, что контракты с правительственными агентствами являются «несекретными, но конфиденциальными», не подлежащими раскрытию без ведома и согласия госучреждений.

В статье WSJ указывается, что деятельность AnomalySix едва ли можно назвать незаконной уже в силу того, что получаемые со смартфонов данные анонимизированы и не связаны с конкретными именами пользователей. Однако существуют косвенные способы увязать эти данные с конкретным лицом.

«Это не нарушает закон, с одной стороны, но с другой, такая анонимизация не представляет сколько-нибудь существенного барьера для деанонимизации и прицельной слежки, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Например, если человек совершает одни и те же действия регулярно, есть не очень сложные технические способы связать "анонимизированные" данные с реальным лицом по косвенным признакам. Анонимность в Сети, к сожалению, вещь все более относительная».

Роман Георгиев

Короткая ссылка