A guerra na Ucrânia já dura há mais de um mês e não tem um final à vista, temendo-se que o governo de Putin possa optar por fazer ataques cibernéticos em retaliação às sanções que os países ocidentais estão a impor, incluindo os Estados Unidos. Foi o próprio Joe Biden que alertou as empresas de potenciais ataques russos às suas infraestruturas, pedindo medidas urgentes para mitigar qualquer impacto. E apesar da Rússia já ter negado planos de ataques cibernéticos, todas as questões ligadas a empresas de software com ligações ao país têm vindo a ser escrutinadas.

A Kaspersky, especialista em software antivírus, foi colocada numa lista de potenciais perigos cibernéticos, pela possibilidade de ter ligações ao Kremlin, primeiro pela Alemanha, e depois acabou também por ser a primeira russa a entrar na lista negra dos Estados Unidos. Agora surgem preocupações com a Yandex, popular motor de pesquisa e portal online com sede em Moscovo. O problema em questão diz respeito ao software que utiliza que permite aos developers criar aplicações para equipamentos da Apple e Google, ou seja para sistemas operativos iOS e Android.

O software em questão chama-se AppMetrica e é um SDK da Yandex, que está a ser acusada de recolher dados dos utilizadores e armazena-los em servidores na Rússia, estando disponíveis para monitorização das autoridades russas. Segundo o Financial Times, os dados recolhidos pela AppMetrica são enviados para servidores na Finlândia e Rússia, neste segundo caso acessíveis ao Kremlin para monitorizar individualidades, através de jogos, apps de VPN e até aplicações de mensagens que utilizam o SDK AppMetrica.

O Yandex, que funciona como um motor de pesquisa como o Google na Rússia, tem vindo a ser escrutinado pelos reguladores desde a invasão na Ucrânia. Nas acusações constam a censura de conteúdos e notícias no país invadido. O Business Insider afirma que o antigo líder da empresa incentivou os seus ex-colegas a demitirem-se sobre o alegado envolvimento no portal na alegada campanha de censura.

O investigador Zach Edwards, que fez a descoberta e testemunhou ao FT, refere que a AppMetrica aclama oferecer serviços apropriados, “enquanto mantém ligação com a sua casa em Moscovo com metadados profundamente invasivos que podem ser utilizados para monitorizar pessoas entre websites e aplicações”. O investigador acredita que aplicações baseadas no SDK podem colocar em perigo perfis de utilizadores com grandes cargos, tornando-os vulneráveis a ataques ou outras formas de monitorização.

O portal russo já se defendeu, declarando que apesar de recolher dados do equipamento, rede e endereço IP, diz ser incapaz de identificar os utilizadores, além da empresa ter um processo estrito no que diz respeito em lidar com pedidos feitos pelas fontes governamentais. Acrescenta que o SDK em questão requer o consentimento do utilizador para aceder aos seus dados e que funciona de forma semelhante às plataformas da Google, por exemplo.

A preocupação é partilhada por outro especialista, que trabalhou na área de segurança global da Apple, referindo que se os dados são recolhidos e armazenados em servidores russos, as leis do país podem obrigar a Yandex a fornecer os mesmos às autoridades.

A Google e a Apple já foram apontadas pelo senado dos Estados Unidos por não terem ainda tomado ações contra a Yandex, pela fuga dos dados constituírem uma ameaça à segurança nacional do país, indivíduos privados americanos ou de todo o mundo. A Google disse que já estava a investigar, dizendo que quando são encontradas aplicações que violam as suas políticas de segurança, tomam as medidas devidas. Já a Apple afirma que o acesso aos dados obriga ao consentimento dos utilizadores. Outras aplicações começam a retirar o acesso ao software, como o browser Opera, que desligou o SDK da Yandex desde o dia 15 de fevereiro, preparando-se para a remoção completa.

O SASPO TEK pediu um comentário às especialistas em cibersegurança ESET e Check Point uma opinião sobre o potencial perigo que o SDK da Yandex representa e aguarda os comentários no fecho deste artigo.