Usuń to z telefonu. 14,7 mln instalacji, a rozdaje Twoje dane

Eksperci z firmy Oversecured, specjalizujący się w bezpieczeństwie aplikacji mobilnych, przeanalizowali kilkanaście pozycji z Google Play. Skupili się na apkach, które mają użytkownikom pomagać z ich kondycją psychiczną. Okazało się, że zawierają one mnóstwo dziur. W sumie wykryto ponad 1500 podatności.

Dziurawe aplikacje w Google Play

W sumie eksperci z firmy Oversecured wykryli w aplikacjach mobilnych w Sklepie Play aż 1575 podatności, z czego 54 uznali za poważne, 538 za średnie oraz 983 za niskie zagrożenie dla danych użytkowników. A przypomnijmy, że mowa o aplikacjach, które można określić mianem medycznych, więc mogą zawierać wrażliwe dane na temat chorób użytkowników.

Te aplikacje to:

• Mood & habit trakcer (ponad 10 mln instalacji)
• AI therapy chatbot (ponad 1 mln instalacji)
• AI emotional health platform (ponad 1 mln instalacji)
• Online therapy & support community (ponad 1 mln instalacji)
• Health & symptom tracker (ponad 500 tys. instalacji)
• CBT-based anxiety app (ponad 500 tys. instalacji)
• AI CBT chatbot (ponad 500 tys. instalacji)
• Depression management tool (ponad 100 tys. instalacji)
• Anxiety & phobia self-help (ponad 50 tys. instalacji)
• Military stress management (ponad 50 tys. instalacji)

Najważniejsze problemy wspomnianych aplikacji to między innymi: możliwość przechwycenia danych logowania, zapisywanie danych lokalnie w sposób dostępny dla innych aplikacji czy też używanie kryptograficznie niebezpiecznej klasy "java.util.Random" do generowania tokenów sesji i kluczy, co ułatwia ich przewidzenie.

Co więcej, większość z analizowanych aplikacji nie ma mechanizmu wykrywania roota. Dlatego na zrootowanym urządzeniu dostęp do wrażliwych danych jest jeszcze łatwiejszy. 

Eksperci zalecają, aby korzystać tylko ze sprawdzonych aplikacji. Powinniśmy też ograniczać dane, które wprowadzamy w tego typu usługach, a także sprawdzać uprawnienia apek.