Sledujte nás na YouTube

Aplikace pro Android obsahují tisíce tajných kódů, dokazuje studie

Jste si jistí, že aplikace, které máte nainstalované ve vašem telefonu s Andoridem jsou stoprocentně bezpečné? Na tuto otázku se snažili přijít výzkumníci Columbia Univerzity, profesor počítačových věd Jason Nieh a doktor Nicholas Viennot, na základě široké analýzy aplikací z Google Play Store pomocí vlastního dekompilačního nástroje PlayDrone.

  

Tento program pomocí hackerských technik dokáže obejít zabezpečení společnosti Google, stáhnout aplikace z Play Store a následně je dekompilovat a analyzovat. Touto cestou se podařilo této dvojici provést analýzu více než 880 tisíc bezplatných aplikací ze 1,1 milionu, výsledky jsou poměrně zdrcující. Spousta vývojářů vybavuje své aplikace tajnými kódy, které mohou být zneužity k ukradení uživatelských jmen a hesel například do služeb Facebook nebo Amazon. Tyto kódy se nenacházejí pouze u aplikací drobných vývojářů, ale i u tzv. „Top Developers“.

   

Výsledky tohoto výzkumu nicméně mají přinést ovoce, Nieh a Viennot úzce spolupracují s Googlem, Amazonem, Facebookem a dalšími poskytovateli služeb, jejichž společným cílem bude udělat z Google Play bezpečnější místo. Google prý již aktivně používá vyvinutou aplikaci PlayDrone k tomu, aby v případě nalezení škodlivého kódu mohl kontaktovat vývojáře a donutit je k jejich odstranění.

 
Deset nejlépe a deset nejhůře hodnocených aplikací v Play Store 

Kromě hledání tajných a škodlivých kódů se výzkumníci zaměřili na obecnou analýzu Google Play Store; zjistili kupříkladu, že zhruba 25 procent všech bezplatných aplikací jsou pouze klony svých originálů. Toto zjištění by v budoucnu mohlo přinést jejich odstranění a pročištění obchodu aplikací, ostatně sám Google se chystá zpřísnit svoji politiku přidávání nových aplikací do Store. Chcete-li si přečíst celou práci, můžete tak učinit kliknutím na tento odkaz.

Jakub Karásek

Redaktor serveru SMARTMania.cz, příznivec mobilních technologií, konvertibilních zařízení a bezdrátového nabíjení, fanoušek tvrdé hudby a milovník rychlé jízdy v motokárách, na kole a na lyžích. Odpůrce FUPu, pomalého internetu a přerostlých tabletofonů.

22 komentářů

  1. fero (neregistrovaný)

    To si neumí ani google pohlídat sám? To musí za něj dělat nějací učitelé? :D

  2. mceza (neregistrovaný)

    „zhruba 25 procent všech bezplatných aplikací jsou pouze klony svých originálů“

    No jo a pak člověk poslouchá, že Android je nejlepší, protože má nejvíce aplikací…

    • fero (neregistrovaný)

      O to ani tak nejde, jako o to že to google sám nezjistil :D

    • mceza (neregistrovaný)

      A co by měl na tomhle konkrétním zjišťovat? Povinost Googlu není prošetřovat, zda máš práva/licenci na použití ochranných známek a podobně. To už je problém jednotlivých vývojářů.

      Google pouze aplikaci porušující zákony na žádost regulérního vlastníka ochranných známek může stáhnout.

      Zajímavé, že Google Play se z téměř nulové kontroly publikovaného obsahu přetváří přesně na druhou stranu.

  3. weth (neregistrovaný)

    OT: myslim, ze na to nekdo narazel uz minule – nejedna se o univerzitu z Kolumbie, jak pisete, ale o Columbia University.

  4. Standa (neregistrovaný)

    No jo, proto vždycky beru hodně vážně prokazování „použitelnosti“ OS applistů a androidistů za pomoci počtu aplikací. Opravdu důležitá je (by očko) první stovka nebo dvě. Zbytek je honění trika nad velkým počtem zbytečných čísel :-)

    Jinak nezveřejněné kódy v aplikacích tak nějak předpokládám. Androidoví vývojáři na ostatních platformách kritizují cokoli, ale že má Google dlouhodobě problém s nastavováním práv aplikací, potichu přecházejí. A oni ví proč.

  5. Jerry7650 (neregistrovaný)

    A aby bylo vše „bezpečnější“, tak Google svým updatem Play store tak zprasil přehled požadovaných oprávnění, že teď už člověk nainstaluje cokoliv.

    Typicky třeba aplikace facebook. Dříve tam byly vidět takové hezké věci jako „zasílání emailů a SMS bez vašeho schválení“… A teď je tam jen skupina „Práce se SMS“ a práce s emailem“. Navíc teď staší, aby nějaká aplikace měla opravnění na čtení sms, což je OK, ale pak updatem přidá i posílání sms a už se vás to nebude ptát jako dříve, protože holt jste schválili i do budoucna celou skupinu „práce se sms“

    • smisekCZ (neregistrovaný)

      Přesně tak, další z kiksů Google, na jedné straně bojuje za bezpečnost uživatelů (omezení fungování SD karer v KitKatu), na druhé straně výše uvedeným krokem bezpečnost snižuje. Tou nepodporou SD karet tak ukazuje, že mu nejde o bezpečnost, ale o zvyšování závislosti na cloudu.

      Google mě v poslední době již po několikáté hluboce zklamal.

  6. knizmi (neregistrovaný)

    Můžu požádat autora článku, jestli by mohl nějak rozvést větu „Tento program pomocí hackerských technik dokáže obejít zabezpečení společnosti Google, stáhnout aplikace z Play Store“?

    Stáhnout free aplikaci z Play Storu dokáže i některé webové služby jako třeba [odkaz] a google se tomu ani nijak nebrání.

    Vzhledem k této bombasticky napsané větě bych řekl, že podobně bombasticky má působit i zbytek článku, přestože to zas až taková bomba nebude.

    • knizmi (neregistrovaný)

      Jinak mi přijde, že to autor/překladatel celkově moc nepochopil.

      1. Ty „tajemné kódy“ jsou vývojářské, nikoli uživatelské klíče a žádná uživatelská data nejsou v ohrožení. Jestli se s tím dá něco získat, tak údaje o účtu vývojáře.

      2. Google těžko může za to, že tam vývojáři ty klíče cpou v čitelné podobě. To, že se binární (a ještě k tomu v Javě) kód dá dekompilovat není za taková novinka.

    • AntiApple (neregistrovaný)

      Fakt? mne už cez aplikáciu ukradli heslá a to som mal overený program 4.5 hviezdy aKo alternatívu k Facebooku. Mi zmenili heslo a zistil som, že to bolo práve cez tú aplikáciu. Nejaká brazílska IP. Fakt uvažujem, že si kúpim iPhone, lebo nemám rád ak sa mi niekto hrabe v údajoch. Na iPhone majú appky v AppStore preverené a appka sa aj spýta, či chcem povoliť appke prístup pr. K fotkám, mikrofónu, kamere atď. Tiež iPhone nepadá tak ako musím po pár dňoch reštartovať môj Samsung lebo mi seká niekedy

    • Royce (neregistrovaný)

      Stejně by mě zajímalo, jak tam ty kódy mají cpát?

    • knizmi (neregistrovaný)

      to Antiapple: Tahle stížnost mi trochu připomíná některé naše uživatele, kterým přišel z adresy webmaster@sdgfd.cn mail s formulářem pro vyplnění hesla k mailu, oni ho vyplnili a pak se divili, že z jejich schránky začal chodit spam.

      Jinými slovy – pokud někomu neznámému (ať je to appka od pochybného vývojáře, nebo někdo, kdo se vydává za webmastera) dáš své heslo k facebooku, tak se asi nemůžeš divit tomu, že má tvoje heslo k facebooku :-D S touhle zprávičkou to nemá nic společného.

    • AntiApple (neregistrovaný)

      Knizmi: ja som údaje zadával, aby ma aplikácia prihlásila. Žiadne po mimo nejaký formulár. Aplikácia ma potom priamo prihlásila na Facebook. Túto aplikáciu používa množstvo ľudí zo Slovenska a Čiech a chvália ju.

    • Belmondo77 (neregistrovaný)

      Ty si asi pěkný jelito :-)

    • knizmi (neregistrovaný)

      antiapple: To je právě úplně jedno, jestli formulář nebo appka – když někomu to heslo dáš, tak ho prostě bude mít, pokud chce.

      Jinak pokud je ta appka tak dobře hodnocená, tak ostatním to heslo neukradla? Určitě to byla ta appka?

      A do třetice – jak to celé souvisí s touhle zprávičkou?

    • AppleHater (neregistrovaný)

      Presne, kdyz heslo do facebooku zadas primo aplikaci, samozrejme analyza kodu muze odhalit ze s tim pracuje. To neni nic proti nicemu.

      Nevim teda o jakou aplikaci jde, ale jiz z principu bych nezadaval zadne hesla z jinych aplikaci. Na to ani neni treba zadnych zvlastnich prav aby se to dostalo kde nema.

    • kraken (neregistrovaný)

      No keď som to správne pochopil tak to heslo zadával priamo v tej apke. Ci že sa chcel cez ňu prihlásiť. Ci že žiadne mimo apk. A tiež sa mi nechce veriť že by sa jednalo o oficko apku.

    • Royce (neregistrovaný)

      Od toho máme v telefonu ofiko apky, které přeberou přihlášení.. kdo vyplní do nějakého formuláře v nějaké aplikaci (a nedejbože na androidu) svůj login, tak je idiot..

    • SP (neregistrovaný)

      A to ještě nebylo zmíněné, že právo na plný přístup k internetu bylo dáno do skupiny ‚ostatní‘ s dovětkem googlu, že to už přece má téměř každá aplikace…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *