» »

Ruska koda leta v aplikacijah ameriških državnih organov

Ruska koda leta v aplikacijah ameriških državnih organov

Slo-Tech - Pushwoosh je podjetje, ki razvija kodo za uporabo v aplikacijah za pametne telefone. Deluje podobno, kot drobci Facebookove, Googlove ali Amazonove kode, in sicer zbira osebne podatke. Kodo najdemo v več kot 8000 aplikacijah na Googlovi in Applovi platformi, vključno z aplikacijami Centra za nadzor nalezljivih bolezni (CDC), ameriške vojske, UEFE in britanskih laburistov.

Uporabljanje kosov kode zunanjih proizvajalcev pri razvoju aplikacij ni nič nenavadnega, saj se tako pospeši in poceni razvoj. Med tovrstne ponudnike sodi tudi Pushwoosh, ki pa je registriran v Rusiji. Čeprav imajo strežnike v ZDA in Nemčiji, kjer shranjujejo zbrane podatke, so vendarle rusko podjetje s sedežem v Novosibirsku. Tega niso nikoli zares skrivali, a ker tega tudi niso obešali na veliki zvon, je večina uporabnikov kode to spregledala. Ruskih vezi niso ravno tajili, a jih tudi navajali niso.

Pushwoosh ni veliko podjetje, saj ima 40 zaposlenih in letni promet okoli 2,5 milijona evrov. A ker ima sedež v Rusiji, je uporaba te kode v zahodnih aplikacijah nezaželena, lahko tudi varnostno sporna. Tudi zato se je podjetje v različnih poročilih predstavljalo kot locirano v Kaliforniji, Marylandu ali Washingtonu, D. C.

Podjetje trdi, da ne zbira nobenih občutljivih informacij, da imajo strežnike na zahodu in da ne sodelujejo z ruskimi oblastmi. Za zdaj ni dokazov, da bi z zbranimi podatki ravnali problematično. Vendarle pa bi lahko ruske oblasti podjetje prisilile v razkritje podatkov strank, četudi so fizično locirani na Zahodu. Glede na število, pestrost in razširjenost aplikacij, ki uporabljajo to kodo, podatkov ni malo. Večina aplikacij je sporno kodo že umaknila.

25 komentarjev

sija ::

(odstranil pikro pripombo)

Nasploh je po mojem gostovanje zunanje analitike v aplikacijah varnostni problem, tudi če ignoriramo politiko. Striktno tehnološko gledano predstavlja dodatno kompleksnost in možnost izliva podatkov.

Zgodovina sprememb…

  • spremenilo: sija ()

mailer ::

Na ta način bi morali odstraniti 95% aplikacij in ne samo delčkov kod. Spet se grejo dvoličnost.
Corsair 250D & AX850 & Corsair H100i V2
Asus B560-I & Intel 11500 & Corsair 16GB 3200MHz & Samsung 960evo & 860evo
BD207DBK & Logitech G110 & G300 & Dell U2721DGFA

MrStein ::

Torej z kodo ni nič narobe, lahko pa bi bilo!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

fikus_ ::

Verjetno res ne, ker naj ne bi počela kaj drugega, kot mnoge druge. Narobe je to, da je RU firma zadaj in to je sedaj aktualno.
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.

D3m ::

Se pravi je problem, ker so Rusi.

LEL.
|HP ProBook|R5 3500U|

LightBit ::

MrStein je izjavil:

Torej z kodo ni nič narobe, lahko pa bi bilo!

Je narobe. Spyware je tako kot mnogo druge Facebook, Google, ... kode.

bbbbbb2015 ::

D3m je izjavil:

Se pravi je problem, ker so Rusi.

LEL.


Je problem. Saj to se je že vedelo dolgo. Probleme imajo tudi nemške investicijske banke, ki so uporabljale (cenejše) time iz Rusije in Ukrajine in (po mojem vedenju) Belorusije.

Zdaj je vse to (z Ukrajinci) vred - postalo zelo problematično. Banke to rešujejo različno, eni Rusi so prišl v vzhodni del Nemčije (okoli Berlina, pa še tam čisto vzhodno). Poznam enega Iranca (še iz Azije), ki je kot disident prišel v Malezijo (Malezija je pa res sprejemala vsakogar, tudi Irance), nato je odpeketal v Evropo - čim je dobil vizum.

Kako je dobil vizum, ne vem, a se je poročil s kako Nemko, nimam pojma. Nazadnje, ko sem gledal, kaj se je zgodilo z njim, je bil v Nemčiji. Nato pa je bil brez dela. Delal je za neko finančno institucijo, pa je postal (iz nekega razloga)nezaželjen. Kaj dela zdaj - ne vem.

Kar se mene tiče - je to v redu. Vsaj Slovenci in sploh JV Evrope je postal še bolj zaželjen.

Zgodovina sprememb…

Invictus ::

Ce odpikajo Ruse, bo Nemcija brez celega kupa inzenirjev.

Bo treba tarifo dvignit :D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Furbo ::

Super, če me bo motilo kako podjetje, moram samo pogledati, če imajo koga z rusko zvenečim priimkom.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

kow ::

Slabo beres. Podjetje v novici je bilo registrirano v Ruski Federaciji.

bbbbbb2015 ::

Furbo je izjavil:

Super, če me bo motilo kako podjetje, moram samo pogledati, če imajo koga z rusko zvenečim priimkom.


Res slabo bereš. To je v praksi zgledalo tako, da so Rusi imeli v Nemčiji neko proxy podjetje za IT razvoj. Sami pa so sedeli, kaj jaz vem kje. Mi smo "novo" sodelavko Tetyano (Ukrajinko sicer), ki je prej bila ne vem kje (noče povedati). Sedaj se je preselila v EU, mislim da ima stanovanje čisto na vzhodu Nemčije.

Tam jim je lažje, dobiti vizo, marsikdo še brez težav govori rusko (čeprav je tega čedalje manj).

Nihče nima nič proti Tetyani, pa četudi bi bila Rusinja. Samo sedaj ne more več sedeti ne vem kje, ampak v EU-27. Samo potem tarifa ni več ista, ker ima zdaj komparatvno dražje stanovanje, pa tako.

Zgodovina sprememb…

MrStein ::

LightBit je izjavil:

MrStein je izjavil:

Torej z kodo ni nič narobe, lahko pa bi bilo!

Je narobe. Spyware je tako kot mnogo druge Facebook, Google, ... kode.

Ja, samo ta zgodba je predstavljena kot "ojoj, rusi!!", namesto: zraven N obstoječih spyware jih zdaj poznamo N+1

Original naslov je: Exclusive: Russian software disguised as American finds its way into U.S. Army, CDC apps
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Glugy ::

Ja pa sej ne morš iti na slepo pa kr na pamet kodo vključit ker se to tvojemu programu lepo izide . Valda greš fajn pregledat kodo preden jo vključiš.

MrStein ::

Ja, folk pregledjuje knjižnice, ki jih vključi. V lala-land mogoče. ;)

Lahko kvečjemu plačaš nekomu, da pregleda tisti 200 milijonov vrstic.
In mu VERJAMEŠ.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zimonem ::

Jah za vojsko le malo prebrskaš in zamrzneš. Ne greš ravno na zadnjo verzijo nečesa.

XIIT ::

Pushwoosh ni veliko podjetje, saj ima 40 zaposlenih in letni promet okoli 2,5 milijona evrov. A ker ima sedež v Rusiji, je uporaba te kode v zahodnih aplikacijah nezaželena, lahko tudi varnostno sporna.

Uporaba katerekoli 3rd party kode je lahko varnostno sporna.

Tudi zato se je podjetje v različnih poročilih predstavljalo kot locirano v Kaliforniji, Marylandu ali Washingtonu, D. C.

To je ekvivalent Applovemu "Made in China, assembled in USA".
Bolj fancy se sliši "smo najeli xyz ltd iz Kalifornije" kot "xyz d.o.o. iz Slovenije".
V prvem primeru rečejo "nice, kalifornija." v drugem pa postavljajo dodatna vprašanja kot so: "kje je slovenija? a tam majo sploh računalnike? niso malo dragi, glede na to da so iz slovenije? etc."
"Only physical beauty is the foundation for a true higher culture of
the mind and spirit as well. Only sun and steel will show you the path."
Beauty is absolutely terrifying to people because it highlights what is ugly.

LightBit ::

MrStein je izjavil:

LightBit je izjavil:

MrStein je izjavil:

Torej z kodo ni nič narobe, lahko pa bi bilo!

Je narobe. Spyware je tako kot mnogo druge Facebook, Google, ... kode.

Ja, samo ta zgodba je predstavljena kot "ojoj, rusi!!", namesto: zraven N obstoječih spyware jih zdaj poznamo N+1

Original naslov je: Exclusive: Russian software disguised as American finds its way into U.S. Army, CDC apps

Gre za stvar zaupanja. V trenutnih okoliščinah je za ameriško vlado Ruski spyware potencialno bolj nevaren od Google spyware-a. Domači spyware je verjetno manj problematičen za vlado.

bbbbbb2015 ::

MrStein je izjavil:

Ja, folk pregledjuje knjižnice, ki jih vključi. V lala-land mogoče. ;)

Lahko kvečjemu plačaš nekomu, da pregleda tisti 200 milijonov vrstic.
In mu VERJAMEŠ.


V produktu, ki ga mi delamo za naročnika, naročnik plača, da se naredi varnostni pregled. Kaj točno vključuje, ne morem povedati (ker nočejo povedati), ampak tim 10+ ljudi to pregleduje (pol leta in več). In to se pregleduje letno. Vsako leto plačajo. In vedno time menjavajo, tako da ne gledajo vedno isti ljudje. In najprej zaženejo par orodij, da strojno pregledajo vse, potem pa kritične dele na roko gledajo.

Zagotovo pregledujejo knjižnice. Vse, od copyrighta, do kode. Smo se enkrat 6+ mesecev ukvarjali, da smo izločili neko knjižnico, ki je bila V PRECEJŠNJI RABI, open source, pa ni bila vzdrževana, pa je bil nek varnostni problem. Smo naredili patch, samo je bilo vse potrebno izločiti. Zajebancije nenormalno.

LightBit ::

fikus_ ::

Kaže, da so na Siolu ponovno odkrili Ameriko.
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.

D3m ::

LightBit je izjavil:

"Padla je maska tajne ruske operacije: segla je v Slovenijo"
;((
Kakšen naslov.


Kater od vas je linkal S-T novico SIOL-u?
|HP ProBook|R5 3500U|

Unchancy ::

Sploh niso zbirali osebnih podatkov državljanov zahodnih držav in sploh jih nikoli niso in jih nikoli ne bodo delili z rusko fašistoidno oblastjo.
Zato so tudi napisali, da sta menedžment podjetja dve izmišljeni osebi s fake fotkami in podatki iz ZDA. Gives us fuzzy warm feeling of confidence and trust.
Škoda časa za tale forum.

Zgodovina sprememb…

  • spremenil: Unchancy ()

fikus_ ::

Zbirali niso nič kaj takšnega, kar ne zbira npr. gugl, sporno je to, za kaj so se predstavljali.
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.

Wrop ::

Unchancy je izjavil:

Sploh niso zbirali osebnih podatkov državljanov zahodnih držav in sploh jih nikoli niso in jih nikoli ne bodo delili z rusko fašistoidno oblastjo.
Zato so tudi napisali, da sta menedžment podjetja dve izmišljeni osebi s fake fotkami in podatki iz ZDA. Gives us fuzzy warm feeling of confidence and trust.


Tako je. Zaupajmo firmi, ki ukrade sliki dveh plesalcev brez njivove vednosti in ju predstavi kot glavi firme v ZDA. Very very trustworthy. :))

Zimonem ::

Ja naredijo naj svoje. kVA je tak problem.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ruska koda leta v aplikacijah ameriških državnih organov

Oddelek: Novice / Varnost
252486 (732) Zimonem
»

FCC: Kaspersky tveganje za nacionalno varnost

Oddelek: Novice / Ostale najave
294767 (2800) p0f
»

Apple in Google odstranila aplikacijo, ki ni bila povšeči Kremlju

Oddelek: Novice / NWO
133310 (2112) mtosev
»

Družbena omrežja bodo morala v Rusiji odpreti podružnice

Oddelek: Novice / Ostale najave
84490 (3285) jshadlsa232
»

Google izgubil pritožbo v Rusiji

Oddelek: Novice / Tožbe
325616 (4047) MrStein

Več podobnih tem