Staré aplikace v telefonu otevírají hackerům dveře. Google chystá varování, ale čekat už se nevyplatí

Aplikace bez aktualizace dál sedí v telefonu s nebezpečným kódem, a Google zatím nemá termín, kdy na to začne upozorňovat.

Zdroj fotografie: Pexels

Představte si zámek na dveřích, ke kterému výrobce přestal dodávat náhradní díly. Klíč funguje, dveře se zavírají, ale každý, kdo zná slabinu starého mechanismu, se může dostat dovnitř. Přesně tak mohou fungovat aplikace v Androidu. Nezmizí, nezhasnou, nezamknou se. Jen zůstávají v telefonu s oprávněními, která jste jim kdysi udělili – jako kód, který už nikdo neudržuje ani neopravuje. V kódu nejnovější verze Google Play Storu se přitom objevily stopy funkce, která by na takové aplikace měla konečně upozornit. Jenže kdy se dostane k uživatelům, neví zatím ani Google.

Zapomenutá aplikace není neškodná

Nejde o to, že je aplikace „stará“ podle data vydání. Problém nastává ve chvíli, kdy přestane dostávat aktualizace, ať už proto, že ji vývojář opustil, nebo byla z obchodu Play odstraněna. Kód zůstává v telefonu beze změny, ale okolní prostředí se vyvíjí.

Oficiální dokumentace Androidu popisuje dva konkrétní vektory útoku. U aplikací s nativním kódem v C/C++ hrozí chyby typu přetečení vyrovnávací paměti nebo use-after-free, které mohou vést ke spuštění cizího kódu. U nebezpečné deserializace stačí útočníkovi podstrčit škodlivá data (například přes deep link, přílohu nebo síťovou odpověď) a aplikace je může nebezpečně zpracovat.

Akademická studie analyzující 200 nejstahovanějších bezplatných aplikací na Google Play zjistila, že 53 z nich obsahovalo zranitelné verze knihoven. Průměrná doba, než vývojář chybu opravil, byla 529 dní. A to u aktivně udržovaných aplikací. U opuštěných se často neopraví vůbec.

Praktický scénář vypadá takto: máte v telefonu starý správce dokumentů nebo VPN klient, který jste naposledy otevřeli před dvěma lety. Aplikace má přístup k souborům, fotoaparátu, případně mikrofonu. Stačí jeden škodlivý soubor nebo odkaz, který narazí na nezáplatovanou knihovnu, a útočník může získat přístup k datům, ke kterým by se jinak nedostal.

Co přesně Google testuje

Portál Android Authority v květnu 2026 publikoval rozbor kódu Play Storu verze 51.4.19. V něm se objevily připravené texty notifikací ve formátu „%1$s byla odstraněna z Google Play a už nebude dostávat aktualizace“, tedy upozornění, že konkrétní nainstalovaná aplikace byla z obchodu odstraněna a již nebude dostávat aktualizace. Kód obsahuje i varianty pro situace, kdy je takových aplikací v zařízení více najednou.

Zní to jako samozřejmost. Není. Dnešní systém ochrany Play Protect skenuje více než 350 miliard aplikací denně, umí resetovat oprávnění nepoužívaných aplikací a upozorňovat na software označený jako potenciálně škodlivý. Dokáže také varovat před aplikacemi odstraněnými z Play kvůli bezpečnostním rizikům. Co ale neřeší, je samotné delistování, tedy situace, kdy vývojář aplikaci stáhne, přestane ji udržovat nebo ji Google odstraní kvůli nesplnění aktuálních pravidel, aniž by šlo o okamžitou bezpečnostní hrozbu. Stávající uživatelé o tom často vůbec nevědí. Google u aplikací pro starší verze API uvádí, že dřívější uživatelé „nejsou dotčeni“ a mohou je dále používat.

Nová notifikace by měla zaplnit právě tuto slepou skvrnu. Ale, a to je podstatné, k 25. červnu 2026 neexistuje veřejně známý termín spuštění. Samotný zdroj navíc neznamená, že se funkce z testovací verze dostane do ostrého vydání.

Reálný příklad: Microsoft Lens s 50 miliony stažení

Aby to nebylo abstraktní: Microsoft v lednu 2026 oznámil ukončení aplikace Lens pro Android i iOS. Podpora skončila 9. února 2026 a aplikace byla stažena z obchodů. Uživatelé, kteří ji měli nainstalovanou, ji ale mohli dál používat – bez aktualizací, bez záplat, bez další podpory. Při více než 50 milionech stažení na Google Play lze předpokládat, že v telefonech zůstaly miliony neudržovaných instalací.

Podobný osud potkal Remote Desktop 8 od téhož Microsoftu – podle databáze AppBrain přibližně 15 milionů stažení, poslední aktualizace v říjnu 2020 a následné stažení z Play. Microsoft uživatele přesměroval na novou aplikaci Windows App, ale automatické odstranění staré verze z telefonů neproběhlo.

A to jsou případy velkých firem, které alespoň komunikují a nabízejí náhradu. U menších studií nebo jednotlivců se aplikace často jen tiše přestane vyvíjet – a v telefonech zůstane dál.

Co udělat hned, bez čekání na Google

Čekat na funkci, která možná přijde za měsíc a možná nikdy, nedává smysl. Základní kontrola zabere pár minut a nevyžaduje technické znalosti.

• Nechte zapnutý Play Protect. Ověřte v Obchodě Play → profil → Play Protect. Bývá zapnutý ve výchozím stavu, ale některé „optimalizační“ návody ho vypínají.
• Projděte aktualizace. Obchod Play → Spravovat aplikace a zařízení → Aktualizace. Aplikace bez aktualizací dlouhé měsíce či roky je kandidát na kontrolu.
• Hledejte mrtvé aplikace. Zkuste je vyhledat v Obchodě Play. Pokud nejsou dohledatelné nebo jsou označené jako vytvořené pro starší verzi Androidu, je to varovný signál.
• Odinstalujte, co nepoužíváte. Ne jen skrýt ikonu – opravdu odinstalovat. Android sice umí u nepoužívaných aplikací omezit a pozastavit aktivitu, ale kód v zařízení zůstává.
• Omezte oprávnění. Pokud aplikaci nemůžete smazat: Nastavení → Aplikace → Oprávnění → vypnout citlivá práva (soubory, SMS, kontakty, mikrofon, poloha, fotoaparát). Zapněte také „Pozastavit aktivitu, pokud se nepoužívá“.
• Prioritu dejte aplikacím se širokými oprávněními: správci souborů, VPN, skenery dokumentů, komunikátory, vzdálená správa a aplikace používající WebView nebo nativní knihovny.

Android vs. iOS: problém mají oba

Kdo by čekal, že iPhone je na tom zásadně lépe, bude zklamaný. Apple sice umí odstranit zastaralé aplikace z App Storu, ale uživatelé je mohou dál používat – stejný princip jako u Googlu. Funkce „Odložit nepoužívané aplikace“ navíc řeší úložiště, ne bezpečnost: data aplikací zůstávají v zařízení.

Výhodou Androidu je lepší práce s oprávněními nepoužívaných aplikací. Systém umí automaticky odebrat oprávnění, omezit běh na pozadí a vypnout notifikace. To iOS v této podobě nenabízí. Plánovaná notifikace o odstraněných aplikacích by tento rozdíl ještě prohloubila – pokud se vůbec dostane do ostrého vydání.

Google za rok 2025 zablokoval více než 1,75 milionu porušujících aplikací a zabanoval přes 80 tisíc vývojářských účtů. Ochrana tedy existuje a funguje. Nová funkce není revoluce, ale doplnění jedné konkrétní mezery: situace, kdy máte v telefonu aplikaci, která už oficiálně není podporovaná, aniž byste o tom věděli. A dokud tato vrstva chybí, jste v tom do značné míry odkázáni sami na sebe.