Onderzoekers zeggen een nieuw beveiligingslek in veel Android-apps uit Google Play te hebben ontdekt dat privégegevens van gebruikers in gevaar kan brengen.
Twee Amerikaanse wetenschappers van de Columbia-universiteit in New York creëerden een programma waarmee zij de broncode van Google Play-apps in konden zien.
Door deze software met de naam Playdrone te gebruiken, kwamen ze erachter dat veel ontwikkelaars geheime sleutels opslaan in de code van hun apps. Deze sleutels worden gebruikt om te communiceren met sociale media of met clouddiensten als Amazon Web Services.
Als hackers de sleutels in handen zouden krijgen, zou dit echter kunnen betekenen dat gebruikersdata kunnen worden gestolen, zelfs als gebruikers de app niet aan hebben staan. Volgens professor Jason Nieh is de kwetsbaarheid ook aangetroffen in apps van bedrijven die door Google zijn bestempeld als 'topontwikkelaar'.
Waarschuwing
In 880.000 gescande gratis applicaties werden geheime sleutels voor Twitter het meest aangetroffen, ruim 28.000 keer. Ook sleutels voor Amazon, Facebook en Linkedin stonden meer dan duizend keer in applicatiecodes opgeslagen, naast honderden geheime sleutels voor Foursquare en Google, zo stellen de wetenschappers in een paper (pdf) die woensdag is gepresenteerd.
Inmiddels worden ontwikkelaars door Google gewaarschuwd om geheime sleutels uit hun code te laten, zegt onderzoeker Nicholas Viennot. "Google gebruikt onze technieken om zelf apps te scannen om deze problemen in de toekomst te voorkomen."
Klonen
Met hun Playdrone-software kwamen de Amerikanen ook tot enkele andere verrassende conclusies. Zo zagen ze dat 25 procent van de Google Play-apps 'klonen' zijn. Deze apps zijn qua code identiek aan andere beschikbare apps.
Verder merkten de onderzoekers op dat de Android-app met de allerslechtste beoordelingen toch maar liefst een miljoen keer is gedownload. De app claimt objecten die op het scherm liggen te wegen, maar uit de code blijkt dat slechts een willekeurig nummer wordt getoond.
Malware in een Android-app: Zo makkelijk is het.
Bron: Nu.nl