Pushwoosh, yazılım geliştiricilere akıllı telefon uygulaması kullanıcılarının çevrimiçi etkinliklerine göre profil oluşturmaları için kod sağlayan ve onlara özel bildirimler göndermelerine olanak tanıyan ABD merkezli bir şirket olduğunu söylüyor. Ancak Reuters tarafından yakın zamanda yapılan bir soruşturma, şirketin gerçek konumu ve doğruluğu hakkında soru işaretleri uyandırdı.
Ordu, Reuters’e Mart ayında Pushwoosh içeren bir uygulamayı “güvenlik endişeleri” nedeniyle kaldırdığını söyledi. Ordu uygulaması, ülkenin ana muharebe eğitim üslerinden birinde askerler tarafından kullanıldı.
Reuters, muhabirlerin ajansın Pushwoosh’un – şirketin temsil ettiği gibi – Washington DC bölgesinde bulunmadığını, bunun yerine Rusya’nın Novosibirsk kentinden işletildiğini bildirmesinin ardından, CDC’nin benzer şekilde yakın zamanda güvenlik endişeleri nedeniyle uygulamasından Pushwoosh kodunu kaldırdığını söyledi.
Pushwoosh’un yazılımı ayrıca “küresel tüketim malları şirketinden çok çeşitli uluslararası şirketler, etkili kar amacı gütmeyen kuruluşlar ve devlet kurumları” için uygulamalarda bulundu. Unilever ve Avrupa Futbol Federasyonları Birliği (UEFA) siyasi açıdan güçlü ABD silah lobisine, Ulusal Tüfek Derneği (NRA) ve İngiltere’nin İşçi partisi”
şirketin kurucusu Max Konev Reuters Pushwoosh’a “Rus hükümetiyle hiçbir bağlantısı olmadığını” ve verilerini ABD ve Almanya’da sakladığını söyledi.
Ancak Reuters, Pushwoosh’un sosyal medyası ve ABD düzenleyici dosyalamaları onu Kaliforniya, Maryland ve Washington, DC’de çeşitli yerlerde bulunan bir ABD şirketi olarak sunarken, şirket çalışanlarının Rusya’nın Novosibirsk kentinde bulunduğunu tespit etti.
Reuters ayrıca şirketin California’daki adresinin bulunmadığını ve Washington, DC’deki Pushwoosh çalışanlarına ait iki LinkedIn hesabının sahte olduğunu öğrendi.
Reuters, “Pushwoosh, kayıtlı olduğu ABD’nin Delaware eyaletindeki sekiz yıllık başvuruda Rusya merkezli olduğundan hiç bahsetmedi, bu eyalet yasalarını ihlal edebilecek bir ihmal” dedi.
Pushwoosh, LinkedIn profillerinin sahte olduğunu kabul etti, ancak bir pazarlama firması tarafından şirkete iş yapmak için yaratıldığını söyledi – konumunu yanlış tanıtmıyor.
Pushwoosh, Reuters’e, koronavirüs pandemisi sırasında “iş yazışmalarını almak” için Washington DC bölgesindeki adresleri kullandığını söyledi. Pushwoosh kurucusunun Constella Intelligence aracılığıyla çevrimiçi varlığına ilişkin bir inceleme, Pushwoosh e-posta adresinin, bir düzineden fazla diğer Pushwoosh çalışanının e-posta adreslerine ve hesap profillerine de bağlı olan Washington, DC’deki bir telefon numarasına bağlı olduğunu gösteriyor.
Pushwoosh, 2016 yılında Novosibirsk, Rusya’da kuruldu.
KISKAÇ TROJAN BAĞLANTISI
Pushwoosh üzerindeki tozlanma, kısmen tarafından toplanan verilerden geldi. Zach Edwardsyakın zamana kadar çevrimiçi tehditlere yönelik araştırmaları finanse eden kar amacı gütmeyen bir kuruluş olan Internet Safety Labs için çalışan bir güvenlik araştırmacısı.
Edwards, Pushwoosh’un şu şekilde başladığını söyledi: Arello-Mobilve birkaç yıl boyunca ikisi ortak marka oldu – çeşitli teknoloji fuarlarında yan yana görünüyor. 2016 civarında, iki şirketin de Pushwoosh adını kullanmaya başladığını söyledi.
Pushwoosh’un kod tabanında yapılan bir arama, şirketin uzun süreli geliştiricilerinden birinin Novosibirsk’ten 41 yaşında olduğunu gösteriyor. Yuri Şmakov. 2013 yılında KrebsOnSecurity, Shmakov ile “Pincer Android Truva Atı’nı Kim Yazdı?” burada Shmakov, kötü amaçlı yazılımın bağımsız bir proje olarak yazıldığını kabul etti.
Shmakov bana, müşterinin spesifikasyonlarına göre, bunun eninde sonunda hain amaçlarla kullanılabileceğinden şüphelendiğini söyledi. Buna rağmen işi tamamladı ve takma adını uygulamanın koduna ekleyerek işine imza attı.
Shmakov, “Bu uygulama üzerinde birkaç aydır çalışıyordum ve gerçekten yardımcı olacağını umuyordum” diye yazdı. “[The] Bu uygulamanın fikri, onu spam filtresi olarak ayarlayabilmenizdir… bir Web hizmetinden bazı aramaları ve SMS’leri uzaktan engelleyebilirsiniz. Bunun olacağını umuyordum [some kind of] kara liste, hakkında günlük kaydı engellendi [messages/calls]. Ama tabii ki, o müşteriyi anladım [did] Bunu gerçekten istemiyorum.
Shmakov, yorum taleplerine yanıt vermedi. LinkedIn profili, 2016 yılında Arello Mobile için çalışmayı bıraktığını ve şu anda bir çevrimiçi bahis şirketinde Android ekip lideri olarak tam zamanlı olarak çalıştığını söylüyor.
Yanıt veren bir blog gönderisinde Reuters Hikaye, Pushwoosh, ABD’nin Delaware eyalet yasalarına göre kurulmuş özel bir şirket olduğunu ve Pushwoosh Inc.’in hiçbir zaman Rusya Federasyonu’nda kayıtlı herhangi bir şirkete ait olmadığını söyledi.
Şirket, “Pushwoosh Inc., ürünün geliştirme parçalarını, makalede bahsedilen Novosibirsk’teki Rus şirketine taşeron olarak kullanıyordu” dedi. “Ancak Şubat 2022’de Pushwoosh Inc. sözleşmeyi feshetti.”
Ancak Edwards, Pushwoosh’un ana alanındaki düzinelerce geliştirici alt alan adının hala Rusya’nın Novosibirsk kentinde bulunan bir İnternet sağlayıcısı olan JSC Avantel’e işaret ettiğini kaydetti.
SAVAŞ OYUNLARI
Bir şirket lazer etiketi etkinliğinde poz veren Pushwoosh çalışanları.
Edwards, ABD Ordusunun uygulamasının başka hiçbir müşteri uygulamasında görünmeyen özel bir Pushwoosh yapılandırmasına sahip olduğunu söyledi.
Edwards, “Başka hiçbir yerde olmayan son derece özel bir düzeneği vardı,” dedi. “Başlangıçta, bir uygulama içi Web tarayıcısıydı ve bir Pushwoosh javascript’i entegre etti, böylece bir kullanıcı bağlantıları her tıkladığında, veriler Pushwoosh’a gitti ve uygulama içi tarayıcı aracılığıyla istediklerini geri gönderebildiler.”
Bir Ordu Zamanları Reuters haberinin yayınlanmasından bir gün sonra yayınlanan makale, en az 1000 kişinin uygulamayı indirdiğini söyledi. ”
Nisan 2022’de yaklaşık 4.500 Ordu personeli, Rusya’nın Ukrayna’ya karşı savaşından öğrenilen derslerin Rusya veya Çin gibi büyük bir düşmana karşı gelecekteki savaşlara hazırlanmak için nasıl kullanılacağına ilişkin bir savaş oyunları tatbikatı için Ulusal Eğitim Merkezinde bir araya geldi.
Edwards, Pushwoosh’un birçok ön yargısına rağmen, şirketin yazılımının müşterilerine veya kullanıcılarına ters bir şey yapmadığını söyledi.
Yaptıkları hiçbir şeyin kötü niyetli olduğu görülmedi” dedi. “Nerede oldukları, verilerinin nerede barındırıldığı ve altyapılarının nerede olduğu hakkında tamamen yalan söylemek dışında.”
YÖNETİM 311
Edwards ayrıca Pushwoosh teknolojisinin, vatandaşların kendi yerel toplulukları ve yetkilileri hakkında genel bilgilere erişmesine yardımcı olmanın bir yolu olarak Illinois’deki şehirlere ve kasabalara satılan yaklaşık iki düzine mobil uygulamada gömülü olduğunu buldu.
Pushwoosh’un teknolojisini bir araya getiren Illinois uygulamaları, Springfield Bütçe ve Yönetim Ofisi’nin şu anki yöneticisi Bill McCarty’nin sahibi olduğu, Government 311 adlı bir şirket tarafından üretildi. Bir 2014 hikayesi Devlet Gazetesi Kaydı Gov 311’in fiyatlandırmasının nüfusa dayalı olduğunu ve uygulamanın yaklaşık 25.000 kişinin yaşadığı bir şehir için yılda yaklaşık 2.500 ABD dolarına mal olacağını söyledi.
McCarty, KrebsOnSecurity’ye şirketinin Pushwoosh’u “yıllar önce” kullanmayı bıraktığını ve artık 311 uygulamaları aracılığıyla anlık bildirimler sağlamak için kendi teknolojisine güvendiğini söyledi.
Ancak Edwards, Riverton, Ill için 311 uygulaması gibi bazı 311 uygulamalarının hala eve Pushwoosh’u aramaya çalıştığını gördü.
“Riverton birkaç yıl önce müşteri olmaktan çıktı. [is] Muhtemelen bu yüzden uygulamaları Pushwoosh’u değiştirecek şekilde asla güncellenmedi,” diye açıkladı McCarty. “Tüm istemci uygulamalarını güncelleme ve bir web sitesi yenileme sürecindeyiz. Bunun bir parçası olarak, Riverton 311 gibi kullanılmayan eski uygulamalar silinecek.”
YABANCI ADTECH TEHDİTİ?
Edwards, diğer kaç eyalet ve yerel hükümet uygulamasının ve Web sitesinin kullanıcı verilerini denizaşırı ABD’li düşmanlara gönderen teknolojiye güvendiğinin net olmadığını söyledi. Temmuz ayında Kongre, 2023 İstihbarat Yetkilendirme Yasası’nın değiştirilmiş bir versiyonunu tanıttı.
İş İçeriği Bu bölümün Senato’nun da geçmesi gereken son halini alması halinde, Ulusal İstihbarat Direktörü Ofisi’nin (ODNI) Yasanın yasalaşmasından sonra bir risk değerlendirmesi yapmak için 60 günü olacağını bildiriyor. Yasa, değerlendirmede “istihbarat topluluğu personelinin reklam teknolojisi verileri aracılığıyla yabancı düşmanlar tarafından izlenmeye maruz kalması ve karşı istihbarat risklerine” bakacağını belirtiyor.
Edwards, bu değişikliklerin geçmesini umduğunu söylüyor, çünkü Pushwoosh’ta bulduğu şey muhtemelen kovada bir damla.
Kongre’nin bu konuda harekete geçmesini umuyorum” dedi. “Yabancı reklam teknolojilerinden kaynaklanan risklerin yıllık olarak denetlenmesi şartını koyarlarsa, bu en azından insanları bu bağlantıları belirlemeye ve belgelemeye zorlar.”