Parcels – Track Your Packages är en av många appar på App Store som kan spåra paket med olika länders postsystem och internationella speditionsfirmor som UPS och DHL. Men den har en något obehaglig överraskning.

9 to 5 Mac har nämligen avslöjat att appen använder din mobils cpu och mobilanslutning för att distribuera arbetsbördan – ett slags botnät, helt enkelt. Den gör det inte i syfte att skada någon, men genom att inte använda https skickas alla uppgifter kors och tvärs utan kryptering.

Guilherme Rambo på 9 to 5 Mac gissar att utvecklaren Pavel Tisunov har designat appen så här för att kunna kringgå posttjänsternas api-begränsningar. Om appen försökte hantera alla användarnas spårningsinformation från en central server skulle det snabbt bli väldigt mycket trafik från en viss ip-adress till tjänsternas servrar och de skulle då kunna blockera den. Genom att låta varje användares telefon hjälpa till att hämta och uppdatera spårningsinformation för alla användare kan appen kringgå sådana hinder.

Det finns två stora problem med det här beteendet. För det första läcker appen uppgifter om användarna då spårningsnummer och svaren från posttjänsterna skickas okrypterat mellan användare och server och skulle enkelt kunna övervakas av vem som helst bara genom att öppna appen. För det andra använder den din mobildata och processorkraft utan att fråga om lov.

I dagsläget gör appen inget lömskare, men den skulle enkelt kunna utnyttjas för att utföra ddos-attacker eller ”klicka” på reklam. I skrivande stund är appen kvar på App Store men efter uppmärksamheten blir vi inte förvånade om Apple tar bort den inom kort.

Notera att appen inte är relaterad till Parcel, en mycket populär app med liknande funktion.