Националната агенция за сигурност на САЩ (NSA) е разработила план за проникване в магазините за приложения на Google и Samsung чрез зловреден софтуер, става ясно от наскоро предоставени документи от Едуард Сноудън, публикувани от The Interсept. Te разкриват информация за програма наречена „IRRITANT HORN“, като хакът става чрез прихващане на уеб трафика към и от сървърите на мобилните приложения. Проектът за наблюдение е пуснат от екипа за подслушване „Network Tradecraft Advancement Team“, в който има шпиони от всяка от страните, влизаща във „Five Eyes“ съюза – САЩ, Канада, Великобритания, Нова Зеландия и Австралия.
В документацията има детайли относно протокола за ъпдейти на Samsung, като се посочват и сървърите на Google Play във Франция, които се използват за предоставяне на актуализации до телефони през Северна Африка. Основният фокус е бил върху Судан, Сенегал и Конго, но на прицел са били сървъри в Куба, Мароко, Швейцария, Бахамите, Холандия и Русия. Тогава магазинът за приложения на Google е бил наречен „Аndroid Market“, сега известен като Google Play.
„Five Eyes“ са работели по време на семинари, проведени в Канада и Австралия в периода между ноември 2011 и февруари 2012 г. Основната цел е била да се намерят нови начини за използване на смартфон технологията за наблюдение. Агентите са използвали интернет системата за шпионаж XKEYSCORE, за да установят трафика от смартфони, преминаващ през интернет кабели, и след това да проследят връзката на устройството със сървърите на Samsung и Google магазините за приложения. Американският технологичен гигант е отказал коментар по случая, а корейският производител е заявил, че „на този етап“ също се въздържа от коментар.
Според документите агентите са използвали така наречената „man-in-the-middle“ или човек по средата атака, за да заразят телефоните със зловреден софтуер. Това е тактика, при която хакерите създават независими мрежи между машините, превръщайки се в посредник на тяхната комуникация. По този начин те са можели да променят съдържанието на данните, преминаващи между таргетираните смартфони и сървъри за приложения, и да вкарат софтуера в тях. Така файловете изглеждали като от достоверен магазин, но всъщност са идвали от NSA. От там агенцията е използвала иснтрументи от програми за наблюдение, включетлно за взимането на списъка с контакти на потребителя или данни за местоположението му. И Samsung, и Google използват TLS криптиране за защита от атаки „man-in-the-middle“, но криптографите от години спекулират, че NSA е намерила начин да заобиколи тези защити.
Не е ясно дали този план е влязъл в действие в периода между 2011 и 2012 или след това, но той показва, че NSA е способна да заобиколи защитата на потребителите и да открадне техните данни. Предишни документи на Сноудън са разкривали подобна програма на агенцията за зловреден софтуер чрез използване на откраднати ключове за декриптиране на SIM карти. Напомняме, че в момента ФБР и правителството на САЩ искат технологичните компании да им дадат достъп до криптирана информация, но те отказват да предприемат тази стъпка, като 140 от големите имена в индустрията се подписаха в защита на сигурността на своите клиенти.