Google is begonnen om apps op Google Play te controleren op het lekken van sleutels waardoor kwaadwillenden gegevens van gebruikers kunnen stelen. De maatregel volgt op onderzoek van onderzoekers aan de Universiteit van Columbia, die meer dan 880.000 apps analyseerden.

Tijdens de analyse ontdekten ze een groot beveiligingsprobleem. Veel ontwikkelaars blijken namelijk geheime authenticatiesleutels in de code van hun Android-app op te slaan, zonder te beseffen dat deze gegevens eenvoudig zijn te achterhalen door het decompileren van de app. Met deze gegevens is het vervolgens voor een aanvaller mogelijk om gebruikersgegevens van serviceproviders zoals Amazon en Facebook te stelen. In totaal zouden de onderzoekers duizenden geheime authenticatiesleutels hebben ontdekt.

"We hebben nauw samengewerkt met Google, Amazon, Facebook en andere serviceproviders om klanten die risico lopen te identificeren en te waarschuwen en de Google Play store een veiligere plek te maken", zegt onderzoeker Nicolas Viennot. "Google gebruikt nu onze technieken om proactief apps op deze problemen te scannen om herhaling te voorkomen."

PlayDrone

Om alle apps te kunnen analyseren ontwikkelden Viennot en onderzoeker Jason Nieh een tool genaamd PlayDrone. PlayDrone gebruikt verschillende hackingtechnieken om de beveiliging van Google te omzeilen en de honderdduizenden Google Play apps te downloaden. De onderzoekers zien in PlayDrone een basis voor het uitvoeren van meer app-onderzoek.

"Ons werk maakt het mogelijk om op grote schaal en op nieuwe manieren Android-apps te analyseren, en we verwachten dat PlayDrone een handige tool zal zijn om Android-apps beter te begrijpen en de kwaliteit van apps in Google Play te verbeteren", laat Nieh weten.