Исследователи из Школы компьютерного проектирования при Колумбийском университете (США) провели широкомасштабный анализ магазина приложений Google Play и обнаружили серьезные проблемы в системе безопасности, включая данные секретных ключей, которые разработчики хранят в своих приложениях, и если их украсть, то их можно использовать, чтобы завладеть данными пользователей в таких ресурсах, как Amazon и Facebook.
С помощью поискового робота PlayDrone, который был создан самими исследователями для индексации и анализа приложений, профессор Джейсон Най (Jason Nieh) кандидат наук Николас Вайннот (Nicolas Viennot) использовали многочисленные способы для взлома системы безопасности Google, чтобы скачать приложения из магазина Google Play и извлечь исходные коды из них.
В результате они обнаружили, что система безопасности крайне уязвима, что многие недостатки просто остаются незамеченными, так как, по словам ученых, малоизвестно о том, что загружается разработчиками в Google Play, и о том, что там хранится относительно содержание, помимо приложений. Так называемые «секретные ключи» изначально хранились разработчиками как часть информации о приложении, и, соответственно, если их украсть, то можно воспользоваться данными пользователей, находящимися, например, в Amazon или Facebook.
«Google Play имеет более миллиона приложений и боле 50 миллиардов скачиваний, но никто не отслеживает, что загружается в Google Play: любой может приобрести аккаунт за $25 и загружать все что угодно. Также практически ничего неизвестно, что находится на агрегированном уровне, – говорит Най. – Принимая во внимание огромную популярность Google Play и потенциальный риск для миллионов пользователей, мы решили, что очень важно тщательно проанализировать содержание Google Play».
Для того чтобы просматривать Google Play изо дня в день, PlayDrone был сделан изменяемым: он автоматически добавляет серверы для того, чтобы справляться с необходимым количество загрузок. Применяя данную технологию, исследователи смогли скачать более миллиона приложений для Android и декомпилировать свыше 880 000 этих доступных приложений.
После обработки данных и анализа своих открытий группа ученых стала неотъемлемой частью в борьбе с недостатками системы безопасности, так как они остаются в непрерывном контакте с компанией Google, а также позволяют ей использовать свою технологию. В результате Google уже начала улучшать методы и протоколы, применяемые в магазине приложений.
«Мы работали напрямую с Google, Amazon, Facebook и другими поставщиками услуг для того, чтобы выявить и предупредить пользователей о риске, а также сделать Google Play безопасным магазином, – говорит Вайннот. – Теперь Google использует нашу технологию для заблаговременной проверки приложений, чтобы предотвратить возникновение этих проблем в будущем».
Помимо анализа всех этих данных, согласно ученым, PlayDrone обнаружил множество других интересных вещей о приложениях, которые не были связаны с безопасностью, а демонстрировали состояние системы. Например, примерно четверть всех бесплатных приложений на Google Play просто-напросто дублируют друг друга, то есть просто являются клонами уже доступных приложений.
Вдобавок одно приложение, в описании которого утверждается, что если поставить какой-то предмет на экран телефона, то оно определит вес. Но это приложение просто отображало случайные числа, имея при этом более миллиона загрузок. И к тому же было оценено как худшее на Google Play.