Onderzoekers verbonden aan de universiteit van Columbia (Amerika) hebben ontdekt dat duizenden apps van de 880.000 onderzochte Android apps privésleutels bevatten. Hierdoor loopt het Android-besturingssysteem een hoog beveiligingsrisico.
De gevonden sleutels variëren van toegangscodes tot het cloud-platform Amazon AWS, Facebook oAuth, LinkedIn en Twitter inloggegevens. In totaal vond het team toegang gegevens voor ruim 28 duizend Twitter accounts en ongeveer 1.400 Facebook sleutels, 90% van deze toegangscodes zijn ruim 5 maanden later nog steeds werkend bevonden.
Airbnb kwetsbaar
Het populaire Airbnb, een platform voor het vinden van een mooi vakantie stekje, was met haar app ook enige tijd kwetsbaar. Doordat Airbnb haar Facebook sleutels in de app had verwerkt kon het onderzoeksteam toegang krijgen tot de email adressen en vriendenlijsten van alle Airbnb gebruikers.
Omdat Airbnb geen toegang heeft tot het plaatsen van berichten op de pagina van elke gebruiker is erger voorkomen. Anders had het team op miljoenen Facebook profielen een bericht achter kunnen laten. Overigens heeft het team Facebook snel op de hoogte gesteld van het probleem waarna Airbnb een aantal uren later een update voor haar app uitbracht.
Codecrawler
Voor het onderzoek hebben de onderzoekers een zoekrobot geschreven welke de inhoud van de Google Play Store indexeert. Dagelijks indexeerde de tool met de naam “Playdrone” 1.1 miljoen applicaties.
Tegelijkertijd indexeerde de researchtool van ongeveer 880.000 gratis applicaties de broncode om zo tot haar bevindingen te komen. Daarnaast kwam het team ook tot de conclusie dat een kwart van de applicaties duplicaten zijn van al bestaande apps.
Bron: University of Columbia
