Nebezpečné aplikace v Google Play Store ohrožují osobní údaje uživatelů
Dvě nebezpečné aplikace v Google Play Store odhalují osobní údaje Android uživatelů. Jde o neoprávněné AI aplikace pro úpravy a ověřování identity s nedostatečným zabezpečením. Buďte obezřetní a chraňte své soukromí.
V Google Play Store byly nedávno odhaleny nebezpečné aplikace, které představují významné riziko pro osobní údaje Android uživatelů. Tyto konkrétní dvě aplikace, pocházející od stejného vývojáře, jsou popsány jako neoprávněné AI aplikace, které postrádají adekvátní zabezpečení.
Jejich primární funkcí je údajně úpravy a ověřování identity, avšak ve skutečnosti shromažďují a odhalují citlivá uživatelská data. Tato situace podtrhuje důležitost obezřetnosti při stahování aplikací, i když jsou dostupné v oficiálních obchodech. Uživatelé by měli vždy zkontrolovat oprávnění aplikací a pověst vývojáře, aby ochránili své soukromí.
Dvě konkrétní aplikace, které byly identifikovány jako problematické, jsou „Video AI Art Generator & Maker“ a „IDMerit„. Obě pocházejí od stejného vývojáře, společnosti Codeway.
Aplikace „Video AI Art Generator & Maker“ byla nainstalována více než 500 000krát a podle zpráv uniklo přes 1,5 milionu uživatelských obrázků, více než 385 000 videí a miliony uživatelsky generovaných AI souborů. Celkem bylo touto aplikací exposed přes 12 TB mediálních souborů. Tento únik dat nastal kvůli špatně nakonfigurovanému úložišti Google Cloud Storage, které umožnilo neautorizovaný přístup. Tato aplikace sbírala soubory od svého spuštění 13. června 2023. V současné době se již neobjevuje v Google Play Store, protože ji Google údajně skryl.
Druhá aplikace, „IDMerit„, od stejného vývojáře, exposed takzvaná data „Know-your-customer (KYC)„. Jedná se o osobní a profesní informace, které jsou firmy a finanční instituce právně povinny získat k ověření identity. Tato data zahrnovala celá jména, adresy, PSČ, data narození, národní ID, telefonní čísla, pohlaví, e-mailové adresy a telco metadata. Data patřila jednotlivcům z USA a 25 dalších zemí, včetně Německa, Francie, Číny a Brazíze. Dobrou zprávou je, že vývojář Codeway dokázal zabezpečit přístup k datům pro aplikaci IDMerit 3. února.
Jedním z častých problémů, který vede k takovým zranitelnostem, je praxe „hardcoding secrets„, kdy jsou citlivé informace, jako jsou hesla a šifrovací klíče, vloženy přímo do zdrojového kódu aplikace. Studie ukázaly, že takto pevně zakódovaný klíč na veřejném úložišti, jako je GitHub, může být kompromitován za méně než pět sekund. Výzkum ukázal, že 72 % stovek analyzovaných aplikací v Play Store mělo podobné zranitelnosti.
Jak se chránit: Uživatelé by měli kontrolovat portfolio vývojáře (vyhýbat se těm s mnoha podobnými tituly, což může naznačovat preferenci kvantity před kvalitou), hledat odznak „Verified Developer“ od Google v Play Store a být ostražití vůči aplikacím, které způsobují přehřívání telefonu nebo rychlé vybíjení baterie. Také je doporučeno skenovat aplikace v telefonu pomocí funkce Google Play Protect (v Obchodě Play > ikona profilu > Play Protect > Skenovat).
Tyto aplikace odhalují osobní data uživatelů, což vede k vážnému narušení soukromí. Jejich nedostatečné zabezpečení umožňuje přístup k citlivým informacím.
Jde o neoprávněné AI aplikace propagované pro úpravy fotografií a ověřování identity. Byly nalezeny v oficiálním Google Play Store.
Uživatelé by měli být velmi opatrní při instalaci nových aplikací a důkladně kontrolovat požadovaná oprávnění. Doporučuje se také ověřit důvěryhodnost vývojáře před stažením.