Wśród ujawnionych danych są loginy, niezaszyfrowane historie rozmów, a także numery IMEI telefonów. Ale właściwy problem jest bardziej ogólny.
Szkodliwe aplikacje w Sklepie Play to nic nowego, jednak tym razem temat jest nietypowy. Co do zasady komunikator głosowy OyeTalk, łącznie pobrany ponad 5 mln razy, wcale nie miał być szkodliwy. Niestety niechlujność jego twórców sprawia, że dane użytkowników trafiły do sieci.
Ważąca około 500 MB baza danych aplikacji nie była chroniona hasłem – zauważyli badacze z grupy Cybernews. Oznacza to, że każdy mógł wejść jak do siebie i po prostu pobrać jej zawartość. Albo całość w ramach psikusa usunąć, pozbawiając użytkowników historii, choć na to drugie akurat nikt się nie zdecydował.
Powód zamieszania jest prozaiczny. Deweloper, tworząc OyeTalk, odstawił koncertową fuszerkę. Jak wylicza Cybernews, zasadniczych wpadek jest kilka, a pozostawienie niezahasłowanej bazy danych to tylko jedna z nich.
Badacze zauważają, że dane potencjalnie wrażliwe, takie jak klucze API czy adresy powiązanych repozytoriów, zakodowano po stronie użytkownika. Czyni je to niezwykle łatwymi do pozyskania w procesie inżynierii wstecznej. Zastanawia ponadto uporczywe zaciąganie numeru IMEI, który komunikator rozsiewał przy każdej wysyłanej wiadomości.
Tyle dobrego, że – prócz wspomnianego IMEI-u – OyeTalk dysponował co najwyżej loginami i historią rozmów. Nie zbierał numerów telefonów, więc te nie wyciekły. Podobnie w kwestii nazwisk czy adresów użytkowników.
Przy czym cała ta sytuacja obrazuje tak naprawdę inny, bardziej globalny problem. Budując OyeTalk, twórcy skorzystali z platformy Google Firebase, upraszczającej poszczególne procesy, a co za tym idzie umożliwiającej wejście na rynek nawet totalnym amatorom. A jak się amatorka kończy, każdy może niniejszym zobaczyć.
Tymczasem boom na aplikacje mobilne trwa. Nowe apki tworzą miliony podmiotów, nierzadko zupełnie świeżych, w dodatku często na kolanie, gonieni terminami narzuconymi przez inwestorów. Przypadek OyeTalk nie jest pierwszy i niestety raczej nie będzie ostatni.
Źródło zdjęć: ymgerman / Shutterstock
Źródło tekstu: TechRadar, oprac. własne
