Yli 100 miljoonan Android-käyttäjän tietoturva saattaa olla vaarantunut.
Tietoturvayhtiö Check Point Research kertoo tiedotteessaan tutkineensa yhteensä 23 Google Play -sovelluskaupan kautta ladattua Android-sovellusta.
Tutkijat havaitsivat, että lukuisat sovelluskehittäjät käyttävät väärin kolmansien osapuolten pilvipalveluja, kuten reaaliaikaisia tietokantoja, ilmoitusten hallintaohjelmia ja pilvitallennustilaa.
Viestejä, kuvia ja salasanoja vaarassa vuotaa
Huolestuttavaa on se, että kehittäjien piittaamattomuus on saattanut vaarantaa jopa yli 100 miljoonan käyttäjän henkilötiedot.
Vaarantuneisiin tietoihin sisältyivät muun muassa chat-viestit, sähköpostit, sijainti, salasanat ja valokuvat.
Ilmoituksia voi sadella kehittäjän ulkopuolelta
Sovellusten push-ilmoituksissa havaittiin ongelmia. Toimiakseen ilmoitukset vaativat avaimen, jolla tilaajan henkilöllisyys tunnistetaan. Nämä avaimet kuitenkin löytyivät upotettuina useisiin sovelluksiin.
– Vaikka push-ilmoituspalvelun tiedot eivät aina ole arkaluontoisia, kyky lähettää ilmoituksia kehittäjän puolesta voi olla vastustamaton houkutus epärehellisille toimijoille, CPR kirjoittaa tiedotteessaan.
Yhteensä 13 sovelluksen reaaliaikaisista tietokannoista löytyi arkaluontoisia tietoja. Reaaliaikainen tietokanta on tietokanta, joka toimii elävillä ja jatkuvasti muuttuvilla tiedoilla. Sovelluskehittäjät tallentavat tietoja pilveen näistä tietokannoista.
Lisäksi tutkijat löysivät pilvitallennusavaimia Google Play -sovelluksista siitä huolimatta, että tämän tiedetään yleisesti olevan huono käytäntö.