Všechny ochranné procesy selhaly. Aplikace v oficiálním obchodě Play Store kradou data uživatelům Androidu

Ani oficiální obchod s aplikacemi není vždy bezpečný. Dvě populární aplikace dostupné v Google Play odhalily miliony osobních údajů uživatelů Androidu.

Lukáš Altman (Mobify.cz) a Google

Důvěra v oficiální zdroje ke stahování aplikací dostala facku. V Obchodě Google Play se totiž objevily takové, co kvůli zásadním bezpečnostním chybám zpřístupnily obří množství citlivých dat. Dle informací redakce Mobify nasbírala jedna z nich stovky tisíc instalací a únik zahrnoval miliony fotografií, videí i osobních údajů. Selhání spočívalo v podcenění zabezpečení ze strany vývojáře.

Špatná nastavení způsobila obrovské úniky informací

Jednou z problematických aplikací, které se nedávno objevily ke stažení v Obchodě Play, nesla název „Video AI Art Generator & Maker“, informovala PhoneArena. Šlo o nástroj využívající umělou inteligenci k úpravě fotek a generování obsahu. Jak ale zjistili bezpečnostní analytici, došlo k obrovskému úniku dat kvůli špatně nastavenému úložišti Google Cloud Storage.

Databáze nebyla správně zabezpečená, takže k uloženým souborům měl přístup prakticky kdokoli i bez nutnosti ověření. Výsledkem tak bylo odhalení více než 12 TB dat, tedy přes 8 milionů mediálních souborů, včetně asi 1,5 milionu fotografií a stovek tisíc videí. Aplikace byla od června 2023 aktivně používána a soubory se ukládaly průběžně. Google aplikaci v obchodě skryl, jakmile se o problému lidé dozvěděli.

Druhá aplikace od toho stejného vývojáře, nazvaná IDMerit, pracovala s takzvanými KYC údaji (Know Your Customer). Tento pojem označuje informace, které banky a finanční instituce shromažďují kvůli ověření identity klientů, vysvětluje Wikipedia. Uniklá data zahrnovala celá jména, adresy i s PSČ, data narození, čísla dokladů OP, telefonní čísla, e-mailové adresy i metadata operátorů. Vše lze využít pro ukradení identity nebo podvody.

Problém spočíval v zakódování dat ve zdrojovém kódu

Velkou část viny nese technika zvaná „hardcoded secrets“, což je pevné zakódování citlivých údajů (hesel, klíčů) přímo do zdrojového kódu aplikace, popisuje Doppler. Pokud se takový kód objeví například na veřejném repozitáři GitHub, mohou ho automatizované nástroje kompromitovat během několika sekund.

Výzkumy ukázaly, že podobnou slabinu mělo až 72 % analyzovaných aplikací v Google Play. A to je číslo, které by rozhodně mělo znepokojit každého uživatele Androidu. Dobrou zprávou nicméně je, že onen vývojář, společnost Codeway, přístup k citlivým datům u aplikace IDMerit začátkem února zabezpečil.

Redakce Mobify pro co nejlepší ochranu všem uživatelům radí následující:

• Kontrolujte profil vývojáře a jeho portfolio aplikací
• Vyhledávejte označení „Ověřený vývojář“
• Vyhněte se podezřele levným „doživotním“ nabídkám aplikací
• Sledujte, jestli aplikace nadměrně nezatěžuje baterii či nepřehřívá telefon
• Pravidelně spouštějte kontrolu přes Google Play Protect (Profil > Play Protect > Skenovat)

Oficiální obchod už dávno totiž není absolutní zárukou bezpečnosti. Ochrana soukromí dneska stojí především na opatrnosti každého jednotlivé uživatele, a také na tlaku, aby vývojáři přestali podceňovat základní bezpečnostní pravidla.