16 ezer, a Google Play webáruházába feltöltött Android appot fejtett vissza reverse engineering technikával egy IT-biztonsággal foglalkozó cég. Ennek következményeként több mint 300 titkos kulcsra akadtak, melyek tulajdonosaik jóváhagyása és/vagy akarata ellenében felhasználva akár komoly problémákat is okozhatnak.

Kínos titkok

Az appvisszafejtés mögött a delaware-i székhelyű Fallible nevű cég állt. Az Android alkalmazásokat saját kódelemző eszközükön küldték keresztül. Noha az appok neveit nem árulták el, de azt igen, hogy a kedveltebbek közül válogattak. Ehhez igénybe vették a Google legnépszerűbb mobilalkalmazásokat tartalmazó listáját.

Nagyjából 2 500 appban találtak titkos vagy külső féltől származó kulcsokat, például az Uber appjában. Ezek zöme biztonságos és alapvetően szükséges ahhoz, hogy megfelelőlen működjön együtt az alkalmazás a Google Play-jel vagy más szolgáltatásokkal. Mások azonban sokkal veszélyesebb kulcsokat rejtettek magukban, gyakran olyanokat, amik Amazon Web Serviceshez nyújtottak széles körű hozzáférést. Az AWS-sel kapcsolatos információk még a sokat látott kutatókat is meglepték, némelyik teljes jogosultságot biztosított Amazon Web Services példányok (instance) létrehozásához és törléséhez.

Leggyakoribbnak a Twitter kulcsok bizonyultak a vizsgált appokban, árulta el a Fallible.

Ellenőrizzük le kedvenc appjainkat!

Az IT-biztonsággal foglalkozó cég arra hívja fel a fejlesztők figyelmét, hogy minden olyan esetben, amikor API kulcsot vagy tokent akarnak bedrótozni egy appba, gondolják át alaposan, hogy vajon valóban szükség van-e erre. A kutatók azt javasolják, hogy minden alkalommal, amikor lehetőség van ennek kikerülésére, éljenek vele.

Ha kíváncsiak vagyunk valamelyik, általunk használt alkalmazásra, akkor a fent linkelt oldalon érdemes megtekinteni a kódvisszafejtő eszközt. Ezt ugyanis a Fallible online szolgáltatásként elérhetővé tette; bármely, a Google online appáruházában elérhető szoftverre rá lehet ereszteni. Sőt, az sem jelent gondot, ha csak az app APK formában levő változatával rendelkezünk, ez is "megetethető" a Fallible szolgáltatásával.

Azok a gonosz visszafejtők 

Szerencsére a Google készséges partner a biztonsági hibák felderítésében, és nem veszi személyes sértésnek a reverse engineering technikát. Nem minden cég van azonban ezzel így, például az Oracle biztonsági főnöke 2015-ben szabályosan kiakadt azon, hogy egyes ügyfeleik ilyen módon tesztelik a terméket. Annyira komolyan vették ezt, hogy másfél éve még az Oracle bevett gyakorlata szerint a kódvisszafejtést alkalmazóknak levelet írtak, amelyben figyelmeztették a licencmegállapodások megsértésére, a hibát felfedező biztonsági tanácsadókat pedig felszólították, hogy fejezzék be az ilyen irányú tevékenységüket.