Σοβαρό πρόβλημα ασφαλείας στα Pixi 4 και A3 Max smartphones της Alcatel

Το Secure-D εντόπισε ύποπτη δραστηριότητα από την εφαρμογή Weather Forecast - World Weather Accurate Radar στις αγορές τις Βραζιλίας και της Μαλαισίας, η οποία είναι εγκατεστημένη σε δημοφιλείς συσκευές της Alcatel, όπως στα Pixi 4 και A3 Max, που κατασκευάζονται από την ίδια εταιρεία που έχει αναλάβει και την διαχείριση του brand «BlackBerry», την TCL Corporation.

Σύμφωνα με την Upstream, «η εφαρμογή διέπραττε online διαφημιστική απάτη, φορτώνοντας ιστοσελίδες με διαφημίσεις και «κλικάροντας» πάνω τους, προχωρούσε σε συλλογή και διαμοιρασμό των προσωπικών δεδομένων των χρηστών σε διακομιστές στην Κίνα.  Η κακόβουλη δραστηριότητα της εφαρμογής είχε ως αποτέλεσμα την εξάντληση των mobile data των χρηστών, μέσω της  υπερκατανάλωσης έως και κατά 250MB σε ημερήσια βάση, καθώς και την υποκλοπή του υπολοίπου χρόνου ομιλίας τους (airtime credit) αφού επιχειρούσε να τους εγγράψει, με χρέωση, σε ψηφιακές υπηρεσίες χωρίς την συγκατάθεσή τους».

Ο Guy Krief, CEO της Upstream, δήλωσε: «Η ραγδαία διείσδυση των smartphones και η ανάπτυξη του mobile advertising, δημιουργεί το ιδανικό περιβάλλον για την διάπραξη on-line διαφημιστικής απάτης, κυρίως από κακόβουλα λογισμικά. Μόνο το 2018, καταγράφηκε on-line διαφημιστική απάτη περίπου 19 δισεκατομμυρίων δολαρίων η οποία μπορεί να καταλήξει και σε χρηματική κλοπή επηρεάζοντας όχι μόνο τους διαφημιζόμενους αλλά και απευθείας το πορτοφόλι των τελικών καταναλωτών».

Η ομάδα Secure-D της Upstream, η οποία εδρεύει στην Αθήνα, έχει μπλοκάρει περισσότερες από 3 εκατομμύρια δόλιες απόπειρες συναλλαγών της κακόβουλης εφαρμογής σε 7 αγορές. Αν δεν είχαν μπλοκαριστεί, θα είχε προκληθεί απάτη ύψους 1,5 εκατομμυρίων δολαρίων από την υφαρπαγή του διαθέσιμου υπολοίπου χρόνου ομιλίας και δεδομένων των χρηστών στις Βραζιλία, Μαλαισία, Νιγηρία, Νότια Αφρική, Αίγυπτο, Κουβέιτ και Τυνησία.

Μετά την δημοσιοποίηση των ευρημάτων της Upstream, από την εφημερίδα Wall Street Journal αλλά και τους Times of London ή το BBC, η TCL Corporation προχώρησε στην προσωρινή αφαίρεση του app από το Google Play store, αφού όπως επισημαίνει δεν γνώριζε για την ύποπτη δραστηριότητα της. Η πλήρης ανακοίνωση της TCL βρίσκεται παρακάτω:

«Καθώς η αγορά των κινητών τηλεφώνων συνεχίζει να εξελίσσεται, κατανοούμε την ανάγκη να είμαστε πιο προνοητικοί στην ανάπτυξη των εφαρμογών. Ύστερα από κάποιες πρόσφατες ανησυχίες που εμφανίστηκαν, η ομάδα εφαρμογών συνεχίζει να εργάζεται ταχύτατα πάνω σε ενημερώσεις για να αντιμετωπίσει τα θέματα ασφάλειας και δεδομένων. Εκτός από τις δικές μας εργασίες πάνω σε  αυτό, θα αφαιρέσουμε προσωρινά τo Weather app από το Google Play Store , ενώ συνεργαζόμαστε παράλληλα με ανεξάρτητη εταιρεία ασφάλειας ώστε να υποστηρίξουμε περαιτέρω τις προσπάθειες μας και να επικυρώσουμε τις εφαρμογές που αναπτύσσουμε. Θα αποστείλουμε νέα ενημέρωση μόλις ολοκληρωθεί αυτή η διαδικασία.

Εδώ είναι κάποια σημεία που θέλουμε να θυμίσουμε για τις εφαρμογές μας στα κινητά τηλέφωνα:

• Τα δεδομένα της εφαρμογής στα κινητά φιλοξενούνται σε servers AWS εντός των Η.Π.Α. Οποιαδήποτε δεδομένα αποδειχθεί ότι έχουν αποσταλεί σε διακομιστές αλλού θα ήταν μη εξουσιοδοτημένα και οι ομάδες μας διερευνούν περαιτέρω αυτούς τους ισχυρισμούς.
• Καταβάλλουμε κάθε δυνατή προσπάθεια για να διατηρήσουμε τα προσωπικά δεδομένα των πελατών μας ασφαλή σεβόμενοι το νομικό πλαίσιο. Οι ομάδες μας καταβάλλουν κάθε προσπάθεια  για να συμμορφωθούν με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR) (όπου ισχύει η GDPR) σε σχέση με οποιοδήποτε προϊόν (συμπεριλαμβανομένου software ή hardware) που ανήκει εξ ολοκλήρου και αναπτύσσεται από την TCL και επεξεργαζόμαστε προσωπικά δεδομένα που ελέγχονται από την TCL σύμφωνα με την πολιτική απορρήτου μας.
• Όλα τα προσωπικά δεδομένα που συλλέγουμε απο τους τελικούς χρήστες εξυπηρετούν ειδικούς σκοπούς που σχετίζονται με το προϊόν μας. Στην εφαρμογή Weather app, το IMEI συλλέχθηκε αρχικά για να επιτρέψει στον τελικό χρήστη να ασκήσει το δικαίωμα διαγραφής των δεδομένων του που είναι αποθηκευμένα στο διακομιστή μας. Ωστόσο, δεν συλλέγουμε πλέον πληροφορίες ΙΜΕΙ και θα χρησιμοποιήσουμε το Android ID για να επιτρέψουμε τη διαγραφή δεδομένων εάν αυτό ζητηθεί. Τα δεδομένα της τοποθεσίας συλλέγονται για να προσφέρουν καλύτερη εμπειρία στον χρήστη.
• Το email συλλέγεται μόνο αν ο τελικός χρήστης αποφασίσει να μας στείλει το email του μαζί με άλλα σχόλια για να έρθει σε επαφή μαζί μας.
• Κάθε εφαρμογή που αναπτύσσουμε στο κινητό υποβάλλεται μέσω του VirusTotal, το οποίο ελέγχει κάθε υποβολή εφαρμογής με περισσότερους απο 70 διαφορετικούς ανιχνευτές ιών, για να διασφαλίσουμε ότι θα προσφέρουμε μια ασφαλή εμπειρία στο Google Play Store. Έκτος από αυτό, κάθε εφαρμογή μας περνάει απο ελέγχους ασφαλείας της ίδιας της Google προτού καταχωρηθεί στο Google Play Store.
• Αντιλαμβανόμαστε την ανάγκη να παραμείνουμε σε εγρήγορση για  την ασφάλεια και την ιδιωτικότητα των πελατών μας και για αυτό έχουμε αφαιρέσει την SDK πρόσβαση τρίτων από τις εφαρμογές μας– με εξαίρεση την Google και άλλους λίγους αξιόπιστους και πιστοποιημένους παγκόσμιους συνεργάτες – διασφαλίζοντας ότι δεν θα υπάρχουν  δόλιες ενέργειες από τρίτους που ενδέχεται να προσπαθήσουν να χρησιμοποιήσουν την πρόσβαση SDK στο μέλλον.
• Αφαιρέσαμε την Weather app απο το Google Play Store, ενώ οι ομάδες μας εργάζονται για την περαιτέρω διερεύνηση των ανησυχιών που προέκυψαν και  ενώ παράλληλα πραγματοποιείται η διαδικασία επικύρωσης των συνεργατών μας. Θα υπάρχει ενημέρωση όταν η εφαρμογή θα είναι και πάλι διαθέσιμη στο Play Store, ώστε οι πελάτες μας να μπορούν να ενημερώσουν τη νέα έκδοση της εφαρμογής. Θα πρέπει επίσης να σημειωθεί ότι η εφαρμογή ενημερώθηκε (was updated) ώστε να ανακαλεί την SDK πρόσβαση τρίτων, μόλις ενημερωθήκαμε και εμείς για αυτές τις ανησυχίες και έτσι αποφεύχθηκαν μη εξουσιοδοτημένες ενέργειες από τρίτους που είχαν SDK πρόσβαση στην εφαρμογή μας».