Masz Androida? To masz też problem, o którym pewnie nie wiesz

Szkodliwe aplikacje w Sklepie Play to nic nowego, jednak tym razem temat jest nietypowy. Co do zasady komunikator głosowy OyeTalk, łącznie pobrany ponad 5 mln razy, wcale nie miał być szkodliwy. Niestety niechlujność jego twórców sprawia, że dane użytkowników trafiły do sieci.

Ważąca około 500 MB baza danych aplikacji nie była chroniona hasłem – zauważyli badacze z grupy Cybernews. Oznacza to, że każdy mógł wejść jak do siebie i po prostu pobrać jej zawartość. Albo całość w ramach psikusa usunąć, pozbawiając użytkowników historii, choć na to drugie akurat nikt się nie zdecydował.

Zostawili otwartą bazę danych, a na tym nie koniec

Powód zamieszania jest prozaiczny. Deweloper, tworząc OyeTalk, odstawił koncertową fuszerkę. Jak wylicza Cybernews, zasadniczych wpadek jest kilka, a pozostawienie niezahasłowanej bazy danych to tylko jedna z nich. 

Badacze zauważają, że dane potencjalnie wrażliwe, takie jak klucze API czy adresy powiązanych repozytoriów, zakodowano po stronie użytkownika. Czyni je to niezwykle łatwymi do pozyskania w procesie inżynierii wstecznej. Zastanawia ponadto uporczywe zaciąganie numeru IMEI, który komunikator rozsiewał przy każdej wysyłanej wiadomości.

Tyle dobrego, że – prócz wspomnianego IMEI-u – OyeTalk dysponował co najwyżej loginami i historią rozmów. Nie zbierał numerów telefonów, więc te nie wyciekły. Podobnie w kwestii nazwisk czy adresów użytkowników.

Przy czym cała ta sytuacja obrazuje tak naprawdę inny, bardziej globalny problem. Budując OyeTalk, twórcy skorzystali z platformy Google Firebase, upraszczającej poszczególne procesy, a co za tym idzie umożliwiającej wejście na rynek nawet totalnym amatorom. A jak się amatorka kończy, każdy może niniejszym zobaczyć.