Google ei ole hyväksynyt Vidmatea sen Play-kauppaan, sillä YouTube-videoiden lataamiseen tarkoitetuille sovelluksille siellä ei ole sijaa. Niinpä Vidmate pitää ladata epävirallista reittiä – tämä mahdollistaa käytännössä minkä tahansa haittakoodin ujuttamisen mukaan.

Jopa puoli miljardia Android-käyttäjää on Buzzfeedin mukaan kuitenkin ottanut riskin ja ladannut sovelluksen älypuhelimeensa. Sovellus kyllä tekee sen minkä lupaa, eli lataa videoita YouTubesta ja tuhannesta muusta online-palvelusta. Samalla se puuhaa taustalla jotain aivan muuta.

Valitettavasti kyseessä ei ole ylettömän harvinainen ilmiö, sillä erilaisia pienempiä ja suurempia aukkoja paljastuu mobiilisovelluksista yhtenään.

Mobiilisovellusten tietoturvariskejä analysoiva Upstream on huomannut Vidmaten esimerkiksi pyörittävän puhelimessa mainoksia käyttäjältä salassa. Samalla se on lisännyt huomattavasti puhelinten virrankulutusta ja välittänyt henkilökohtaisia tietoja eteenpäin. ”Puhelimesta tulee käytännössä osa petokseen käytettävää botnettiä”, tiivistää Upstreamin toimitusjohtaja Guy Krief .

Viimeisen puolen vuoden aikana Upstream kertoo estäneensä yli 128 miljoonaa Vidmate-pohjaista palvelutilausta, joilla käyttäjiltä olisi lypsetty yli 150 miljoonaa dollaria. Kyseisiin maksullisiin tilauksiin ei Upstreamin mukaan oltu tiedusteltu käyttäjien lupaa, vaan ne oli hoidettu automaattisesti ja salassa.

Vidmaten puolelta syy hämärästä toiminnasta vieritetään kolmannen osapuolen sovelluksien ja yhteistyökumppaneiden niskaan. Vidmaten edustajan mukaan moisia ominaisuuksia ei missään nimessä ole ohjelmoitu varsinaiseen sovellukseen. Yhden kumppanin kanssa yhteistyö onkin jo tullut päätökseen tuoreiden paljastusten valossa.

Alunperin Vidmaten taustalla oli Alibaba-jättiläisen tytäryhtiö UCWeb. Viime vuonna Vidmate kuitenkin myytiin uudelle yhtiölle, Guangzhou Nemo Fish Technologylle. Buzzfeed ei lukuisista yrityksistä huolimatta saanut selvitettyä, keitä erikoisesti nimetyn teknologiayhtiön takana on.

Upstream kokeili myös kolmea puhelinta, joihin Vidmate oli asennettu. Sovellus latasi kaikkiin puhelimiin tausta-ajona Mango-sovelluskehitysympäristön, joka alkoi tilata käyttäjän nimiin maksullisia palveluita ja esittää piilomainoksia. Epäilyttävä toiminta keskittyi tutkimuksen mukaan niihin hetkiin, kun puhelimen näyttö oli lukittuna. Vidmaten mukaan Mangon toimintaa tutkitaan, ja mikäli väärinkäytöksiä havaitaan, yhteistyö sen kanssa lopetetaan.

Vidmaten keräämät tiedot puhelimesta ja käyttäjästä lähetettiin myös salaa eteenpäin. Kohteena olivat Nonoliven omistamat palvelimet Singaporessa. Nonolive on pelaajille suunnattu suoratoistopalvelu – jonka rahoitus tulee Alibabalta. Vidmate on nyt omien sanojensa mukaan katkaissut yhteistyön Nonoliven kanssa.

Kiinteähintaisiin liittymiin tottuneille suomalaisille sovelluksen tuottama lisäliikenne ei olisi kovin suuri haitta, mutta muualla maailmassa on toisin. Vidmate on pahimmillaan lisännyt puhelimen dataliikennettä kolmella gigatavulla kuukaudessa. Esimerkiksi Brasiliassa tämä tarkoittaisi puhelimen omistajalle vuositasolla sadan dollarin lisälaskua – eli paikallista puolen kuun palkkaa.