As loja de aplicações e as aplicações que elas servem são a base da maioria dos ecossistemas dos sistemas operativos móveis. Se algumas são mais restritivas e controlam de forma mais apertada as aplicações que comportam, outras são mais permissivas, dando maiores liberdades aos utilizadores.
Uma descoberta feita agora por dois investigadores veio mostrar que muitas das aplicações que estão disponíveis no Google Play contêm dados sensíveis dos criadores dessas mesmas aplicações e que facilmente podem ser acedidos.
A descoberta foi feita por dois investigadores da Universidade de Columbia que apresentaram esta semana um paper onde detalharam o processo usado e também as conclusões de um estudo que realizaram.
A recolha dos dados no Google Play foi feita através de um software criado para o efeito e que conseguiu descarregar e analisar o código fonte de mais de 800 mil aplicações.
Com o PlayDrone, o software que criaram, conseguiram contornar os mecanismos de segurança desta loja de aplicações e fazer engenharia reversa no código.
As descobertas que fizeram dentro desse código mostrou que muitos dessas aplicações continham dados sensíveis dos criadores das aplicações e que estes eram facilmente acedidos e utilizados.
Entre esses dados estão os nomes de utilizadores e palavras passe de vários serviços, que podem depois serem usados para aceder a outros dados desses mesmos utilizadores. Em algumas das aplicações foram encontrados dados privados de acesso a serviços como a Amazon ou até o Facebook ou do Twitter.
O curioso é que, e também segundo o estudo apresentado, muitas dessas aplicações que tinham esses problemas e que alojavam os dados eram de programadores de topo e bem conotados.
Outra informação curiosa que o estudo revelou foi que cerca de um quarto das aplicações disponíveis no Google Play são clones de aplicações bem conhecidas dentro da própria loja.
Estes criadores aproveitam a boleia do sucesso de outras aplicações para criarem as suas e assim conseguirem ganhar algum dinheiro.
A apresentação do paper, que foi feita na conferência ACM Sigmetrics, pode ser vista no vídeo abaixo.
Toda a recolha de informação feita pelo PlayDrone e a sua análise foi realizada em Julho do ano passado e os resultados foram de imediato comunicado à Google para que esta resolvesse este problema. Também os programadores foram alertado para este problema e devem ter já resolvido os mesmos.
A maior permissividade e a falta de análise activa das aplicações na loja do Android levam a que estas situações passem em claro e leva a que os programadores não tenham as suas aplicações avaliadas e analisadas.
A Google tem melhorado o processo de avaliação e análise das aplicações que são colocadas no Google Play, mas ainda não tem os mecanismos necessários implementados e por isso estas situações são passíveis de serem exploradas por qualquer atacante.
Deve a Google implementar mecanismos mais restritivos e avaliar as aplicações antes de estas serem lançadas?