Duizenden Androidapps geven privésleutels prijs
Onderzoekers van Columbia University hebben vastgesteld dat een beveiligingslek in duizenden Androidapps de bescherming van gebruikersgegevens in het gedrang brengt.
De onderzoekers hebben met behulp van een automatische inhoudsanalyse van honderdduizenden applicaties in de Google Play Store ontdekt dat een groot deel van die apps privésleutels bevatten van diensten als Amazon, Facebook, Linkedin en Twitter. Die sleutels kunnen door hackers gebruikt worden om gebruikersgegevens van deze diensten te stelen.
[related_article id=”161563″]
Het gaat volgens de onderzoekers om duizenden apps, waaronder ook apps van topontwikkelaars die worden gepromoot door Google. Nochtans is er geen reden voor ontwikkelaars om de privésleutels mee te leveren in hun apps. Het is niet duidelijk waarom velen het toch doen.
De onderzoekers werken nauw samen met Google en internetdiensten als Facebook en Amazon om de kwetsbaarheid te verhelpen. “Google maakt nu gebruik van onze technieken om proactief applicaties te scannen op deze problemen om te voorkomen dat dit in de toekomst nog gebeurt,” legt onderzoeker Nicolas Viennot uit. Google is ook gestart met het contacteren van ontwikkelaars met de vraag om hun apps aan te passen en de privésleutels te verwijderen.
Om de automatische inhoudsanalyse uit te voeren, hebben de onderzoekers de tool PlayDrone gebouwd. Daarmee konden ze de beveiliging van de Google Play Store omzeilen om automatisch gratis applicaties te downloaden en de broncode te analyseren. Daardoor hebben ze onder meer ook kunnen vaststellen dat ongeveer 25 procent van alle gratis apps in de Play Store klonen zijn van andere applicaties. Die informatie kan Google helpen om dit soort kopiën te bestrijden, wat goed nieuws is voor de ontwikkelaars van originele apps.
