Een oude versie van de Android-app van kledingketen Shein, die volgens de Google Play Store meer dan honderd miljoen keer is gedownload, stuurde informatie uit het clipboard door naar een remote server, zo ontdekte Microsoft. De kledingketen heeft het gedrag van de eigen app inmiddels aangepast.

Het clipboard kan allerlei gevoelige informatie bevatten, afhankelijk van wat gebruikers kopieren en plakken. De Shein-app bleek periodiek de inhoud van het clipboard te lezen en als het een bepaald patroon detecteerde werd de inhoud naar een remote server doorgestuurd. Microsoft zegt niet bekend te zijn met kwade opzet, maar oordeelde dat dit gedrag niet noodzakelijk is om de app te laten functioneren.

Volgens Microsoft laat dit voorbeeld zien welk risico geïnstalleerde apps kunnen vormen, zelfs bij zeer populaire apps die via de officiele app-store zijn gedownload. Met de lancering van Android 12 laat het besturingssysteem een melding zien wanneer een app clipboardgegevens van een andere app leest. In Android 13 wordt de inhoud van het clipboard, als extra bescherming, na een bepaalde tijd verwijderd. Microsoft heeft een analyse van de app gepubliceerd. Waarom Shein de inhoud van het clipboard doorstuurde is niet bekend.

Eind vorig jaar moest Shein de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. In eerste instantie claimde het bedrijf dat de gegevens van ruim 6,4 miljoen klanten waren gestolen. Dat bleken er 39 miljoen te zijn. Verder onderzoek wees uit dat het bedrijf slechts een fractie van de getroffen klanten had gewaarschuwd en van geen enkel account de wachtwoorden had gereset. Ook claimde het bedrijf ten onrechte dat het geen bewijs had gevonden dat er creditcardgegevens van klanten waren gestolen, terwijl dit wel het geval was.