구글이 데이터를 은밀하게 수집하는 코드가 포함되어 있다며 구글플레이 스토어에서 앱 수십 개를 삭제했다. 문제가 된 코드를 작성한 파나마 기업인 매저먼트시스템즈(Measurement Systems)는 미국 방위 관련 기업과 연결되어 있다고 보도되고 있다.
모바일앱 보안을 조사하는 앱센서스(AppCensus) 블로그에 따르면 PC 원격 제어 앱 취약성을 찾는 감사 업무 과정에서 라우터 MC 주소나 스마트폰 클립보드 내용, GPS에 의한 위치 정보, 이메일 주소라는 정보를 앱으로 실행되는 소프트웨어 개발키트 SDK가 몰래 공유하고 있던 걸 확인했다고 한다.
공유 데이터는 특정 도메인(mobile.measurelib.com)으로 전송됐다. 앱센섯스는 이곳과 통신하는 앱 11종류를 특정하고 있다. 문제가 된 앱에는 코란을 불러주는 이슬람교도용 앱과 속도 단속 장치 검출 앱, QR코드 판독 앱 등이 포함되어 있었다. 공통점은 매저먼트시스템즈가 개발하는 SDK 특정 버전을 이용한다는 것이다.
매저먼트시스템즈 공식 사이트 도메인(measurementsys.com)은 미국 버지니아주에 본사를 둔 보스트롬홀딩스(VOSTROM Holdings)에 의해 등록된 것으로 나타났다. 보도에 따르면 이 회사는 자회사(Packet Forensics)를 통해 연방정부 기관을 위해 사이버 인텔리전스, 네트워크 방어, 정보 가로채기 업무를 맡고 있다고 한다.
매저먼트시스템즈 측은 회사 활동에 대한 지적이 잘못됐다고 밝혔다. SDK를 통한 데이터 전송 문제는 2021년 12월 구글에 보고됐다. 구글 측은 자사 규칙을 벗어나는 형태로 사용자 데이터를 수집하고 있어 2022년 3월 25일 문제가 된 앱을 구글플레이 스토어에서 삭제했다고 밝혔다. 물론 문제가 된 SDK를 삭제하면 앱을 다시 올리는 걸 인정하고 있으며 이미 구글플레이 스토어에 배포를 재개한 앱도 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.