Software russo disfarçado chega aos aplicativos do Exército dos EUA e do CDC

Por James Pearson e Marisa Taylor

LONDON/WASHINGTON (Reuters) - Milhares de aplicativos para smartphones nas lojas online da Apple e do Google contêm um código de computador desenvolvido pela empresa de tecnologia Pushwoosh, que se apresenta como norte-americana, mas na verdade é russa, descobriu a Reuters.

O Centro de Controle e Prevenção de Doenças (CDC), principal agência sanitária dos Estados Unidos, disse que foi enganado ao acreditar que o software tinha sede no país e removeram o Pushwoosh de sete aplicativos voltados ao público, citando preocupações de segurança.

O Exército norte-americano disse que removeu um aplicativo contendo o código Pushwoosh em março, por causa das mesmas preocupações. O aplicativo foi usado por soldados em uma das principais bases de treinamento de combate do país.

De acordo com documentos da empresa publicados na Rússia, a Pushwoosh tem sede na cidade siberiana de Novosibirsk, onde está registrada como empresa de software que também processa dados, emprega cerca de 40 pessoas e registrou receita de equivalente a 2,4 milhões de dólares no ano passado.

A Pushwoosh está registrada no governo russo para pagar impostos. Mas nas mídias sociais e documentos regulatórios dos EUA, ela se apresenta como tendo sede em Washington D.C., Califórnia e Maryland.

O Pushwoosh dá suporte de código e processa dados para desenvolvedores de software, para que eles criem o perfil da atividade online dos usuários de aplicativos de smartphone e enviem notificações personalizadas dos servidores Pushwoosh.

Em seu site, a Pushwoosh diz que não coleta informações confidenciais. A Reuters não encontrou nenhuma evidência de que a Pushwoosh manipulou mal os dados de usuários. As autoridades russas, no entanto, obrigam empresas locais a entregar os dados dos usuários às agências de segurança domésticas.

O fundador da Pushwoosh, Max Konev, disse à Reuters em um e-mail de setembro que a empresa não tentou mascarar suas origens russas. "Tenho orgulho de ser russo e nunca esconderia isso."Ele disse que a empresa "não tem conexão com o governo russo de qualquer tipo" e armazena seus dados nos EUA e na Alemanha.

Especialistas em segurança cibernética dizem que armazenar dados no exterior não impede as agências de inteligência russas de obrigar uma empresa do país a ceder o acesso a esses dados.

O código Pushwoosh foi instalado nos aplicativos de uma variedade de empresas internacionais, organizações sem fins lucrativos e agências governamentais, incluindo Unilever à Uefa e o grupo de lobby de armas dos EUA, a National Rifle Association (NRA) e o Partido Trabalhista britânico.

Os negócios da Pushwoosh com agências governamentais e empresas privadas norte-americanas podem violar contratos e as leis da Comissão Federal de Comércio dos Estados Unidos (FTC) ou desencadear sanções, disseram 10 especialistas jurídicos à Reuters. O FBI, o Tesouro e a FTC se recusaram a comentar.

Washington pode optar por impor sanções a Pushwoosh e tem autoridade para fazê-lo, disseram especialistas.

O código Pushwoosh foi incorporado em quase 8 mil aplicativos nas lojas do Google e da Apple, segundo o Appfigures, site de inteligência de aplicativos. O site da Pushwoosh diz que tem mais de 2,3 bilhões de dispositivos listados em seu banco de dados.

"O Pushwoosh coleta dados do usuário, como geolocalização precisa em aplicativos confidenciais e governamentais, o que pode permitir rastreamento invasivo em escala", disse Jerome Dangu, fundador da Confiant, que rastreia uso indevido de dados.

"Não encontramos nenhum sinal claro de intenção enganosa na atividade de Pushwoosh, o que certamente não diminui o risco de vazamento de dados de aplicativos para a Rússia", acrescentou.

“Os dados que o Pushwoosh coleta são semelhantes aos dados que podem ser coletados pelo Facebook, Google ou Amazon, mas a diferença é que todos os dados do Pushwoosh nos EUA são enviados para servidores controlados por uma empresa na Rússia", disse Zach Edwards, pesquisador de segurança.