数千本のスマホアプリが使用するロシア企業のコード、3月まで米陸軍も使用

headless 曰く、　米企業のふりをしたロシア企業 Pushwoosh のユーザープロファイリングコードを数千本のスマートフォンアプリ (Android / iOS) が使用しており、米陸軍の iOS アプリでも 3 月まで使われていたそうだ(Reuters の記事、The Register の記事、9to5Mac の記事)。

同社はロシアでデータ処理も行うソフトウェア企業として登録されており、シベリア・ノボシビルスクに本社があるという。同社の設立者 Max Konev 氏は 9 月に Reuters のインタビューに答え、ロシア人であることを隠したことはないと述べているが、ソーシャルメディアや米国での登録情報によると、カリフォルニアやメリーランド、首都ワシントンなどを本拠とする米企業になっているとのこと。

Konev 氏はロシア政府とのつながりはなく、データは米国やドイツに保存しているとも述べており、Reuters は同社によるユーザーデータ不正使用の形跡を見つけられなかったそうだが、ロシア当局からデータの強制提出を命じられる可能性は否定できない。そのため、米陸軍による使用は国家安全保障上のリスクも懸念される。

陸軍は Reuters に対し、問題のアプリがナショナルトレーニングセンター (NTC) で使われていたが、3 月にセキュリティ上の懸念から削除したと述べたという。The Register に対しては、問題のアプリが 2016 年に開発されたもので、無料版の Pushwoosh を使用していたと説明している。また、現在では2016 年当時と比べて規定が厳格化しており、有料版のソフトウェアが利用可能な場合は無料版の使用が禁じられているとのことだ。

　スラドのコメントを読む | デベロッパーセクション | セキュリティ | Android | アメリカ合衆国 | モバイル | 軍事 | 政治 | iOS | デベロッパー

　関連ストーリー：
ドイツ連邦セキュリティ局局長解任との報道 2022年10月22日
攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法 2022年08月25日
中国、地政学的緊張下でオープンソース依存の安全性を懸念 2022年06月29日