Hvad gemmer der sig egentligt i Googles bugnende app-markedsplads Google Play? Det satte to amerikanske it-forskere fra Columbia University sig for at undersøge, og et af resultaterne blev, at de opdagede en dumdristig praksis blandt mange Android-udviklere.
I mange apps blev login-oplysninger ikke gemt forsvarligt, men lå i koden og blev gemt lokalt. Det gjaldt også nogle apps fra kendte firmaer eller fra såkaldte ’topudviklere’ i Google Play, fortæller de to forskere, Jason Nieh og Nicolas Viennot, til universitetets eget nyhedssite.
Det drejede sig mere præcist om autentifikations-tokens, som bliver brugt til at logge på andre tjenester, for eksempel hvis en app skulle koble på Amazons cloud-tjeneste for at hente data eller logge på Facebook. Men den slags fortrolige oplysninger skal ikke gemmes lokalt – de skal under løs og slå på en server under udviklernes fulde kontrol, lyder rådet.
Ved hjælp af en hjemmelavet crawler downloadede forskerne alle gratis apps i Google Play og dekompilerede alle 880.000 styk, i perioden marts til november 2013. Den samling af kode blev brugt til at undersøge Androids-applikationerne for sikkerhedshuller, men også mange andre ting. For eksempel fandt de frem til, at hver fjerde gratis applikation på Google Play er en kopi af en anden app.
Men sikkerhedshullet var det mest kritiske, og forskerne gik til Google, Amazon, Facebook og andre, der driver en populær service, for at få stoppet den praksis. Resultatet blev blandt andet, at Google fik noget af deres software til at scanne alle applikationer for gemte adgangs-tokens, før de kommer online på Google Play.
Læs hele deres videnskabelige artikel om forskningen
Leave a Reply