Περισσότεροι από 10 εκατομμύρια χρήστες παγκοσμίως έπεσαν, σύμφωνα με την Upstream, θύματα παράνομης δραστηριότητας της εφαρμογής καιρού για Android smartphones, ‘Weather Forecast - World Weather Accurate Radar’.
H εν λόγω εφαρμογή, την οποία έχει υλοποιήσει η TCL και βρίσκεται προεγκατεστημένη σε κάποια από τα smartphone της, διέπραττε σύμφωνα με τη σχετική ανακοίνωση, online διαφημιστική απάτη, φορτώνοντας ιστοσελίδες με διαφημίσεις και «κλικάροντας» πάνω τους, προχωρώντας επίσης σε συλλογή και διαμοιρασμό των προσωπικών δεδομένων των χρηστών σε διακομιστές (servers) στην Κίνα. Η κακόβουλη δραστηριότητα της εφαρμογής είχε ως αποτέλεσμα την εξάντληση των δεδομένων (mobile data) των χρηστών, μέσω της υπερκατανάλωσης έως και 250MB ανά ημέρα, καθώς και την υποκλοπή του υπολοίπου χρόνου ομιλίας τους (airtime credit) αφού επιχειρούσε να τους εγγράψει, με χρέωση, σε ψηφιακές υπηρεσίες χωρίς την συγκατάθεσή τους.
Όπως σημειώνει η ανακοίνωση της Upstream, η εφαρμογή εντοπίστηκε προεγκατεστημένη σε συγκεκριμένα μοντέλα κινητών Alcatel, όπως τα Pixi 4 και A3 Max, τα οποία κατασκευάζονται από την κινέζικη εταιρεία TCL, ενώ ήταν διαθέσιμη και στο κατάστημα εφαρμογών Play Store.
H απάντηση της TCL
Στα ευρήματα της Upstream απάντησε χθες η TCL με δική της επίσημη ανακοίνωση. Ειδικότερα, η κινεζική εταιρεία αναφέρει ότι προχωράει στο κατέβασμα της εφαρμογής από το Play Store, ενώ παράλληλα συνεργάζεται με ανεξάρτητη εταιρεία ασφάλειας, σε μια προσπάθεια επικύρωσης από τρίτους των εφαρμογών που αναπτύσσει.
Αντικρούοντας μερικώς τους ισχυρισμούς της Upstream η ανακοίνωση της σημειώνει ότι τα δεδομένα της εφαρμογής στα κινητά φιλοξενούνται σε servers AWS εντός των Η.Π.Α., προσθέτοντας «ότι οποιαδήποτε δεδομένα αποδειχθεί ότι έχουν αποσταλεί σε διακομιστές αλλού θα ήταν μη εξουσιοδοτημένα». Η TCL διερευνά περαιτέρω αυτούς τους ισχυρισμούς.
Η ανακοίνωση επίσης σημειώνει ότι όλα τα προσωπικά δεδομένα που συλλέγει η εφαρμογή από τους τελικούς χρήστες «εξυπηρετούν ειδικούς σκοπούς που σχετίζονται με το προϊόν». Ειδικότερα, στην εφαρμογή Weather app, το IMEI συλλέχθηκε αρχικά για να επιτρέψει στον τελικό χρήστη να ασκήσει το δικαίωμα διαγραφής των δεδομένων του που είναι αποθηκευμένα στο διακομιστή της εταιρείας. Τα δεδομένα της τοποθεσίας συλλέγονται για να προσφέρουν καλύτερη εμπειρία στον χρήστη, ενώ το email συλλέγεται μόνο αν ο τελικός χρήστης αποφασίσει να το στείλει μαζί με άλλα σχόλια για να έρθει σε επαφή με την εταιρεία.
Άλλα σημεία της ανακοίνωσης αφορούν τη διαδικασία εξονυχιστικού ελέγχου στην οποία υποβάλλονται οι εφαρμογές που αναπτύσσει η TCL και τις ενέργειές της για την ασφάλεια των προσωπικών δεδομένων των χρηστών.
Η εταιρεία θα ενημερώσει για το χρόνο στον οποίο θα είναι διαθέσιμη εκ νέου η εφαρμογή, η οποία ήδη ενημερώθηκε ώστε να ανακαλεί την SDK πρόσβαση από τρίτους.
