Bezbednosni propust na Google Play-u ugrozio milione ljudi!

Otkriveno je da programeri često čuvaju svoje tajne ključeve u softveru aplikacije, na sličan način kao što ljudi čuvaju korisnička i imena i šifre za pristupanje nalozima na društvenim mrežama. Zbog toga hakeri mogu pristupiti aplikaciji čak i ako se ona ne koristi aktivno.

Otkriven je veliki bezbednosni propust na Android marketu (Google Play) koji može da otkrije sve privatne podatke korisnika. Bug, koji su Google, Facebook, i druge kompanije koje se bave razvojem aplikacija popravili pre nego što su objavili da je uopšte i postojao, ugrozio je na milione ljude. Pomenuti propust omogućavao je hakerima da ukradu podatke sa Facebook-a , Amazon-a, i drugih aplikacija koristeći “tajne” ključeve. Džejson Nije, profesor računarske nauke na Columbia univerzitetu, i kandidat za doktorat, Nikolas Vijenot, izjavili su da su bili zapanjeni svojim otkrićem.

hack

Google Play ima preko miliona aplikacija, i preko 50 milijarde preuzimanja istih, ali niko ne proverava šta se sve postavlja na ovaj servis. Svako može da napravi nalog i postavi šta hoće. S obzirom na neverovatnu popularnost Google Play-a, i potencijalnog rizika koji on predstavlja za milione korisnika, mislili smo da je veoma bitno ispitati šta se sve tamo nalazi – izjavio je Džejson Nije.

Istraživači su kreirali aplikaciju pod nazivom PlayDrone, koja je koristila razne tehnike hakovanja, kako bi prevazišla obezbeđenja koja je Google postavio, i uspešno preuzimala Google Play aplikacije. Naime, otkrili su da programeri često čuvaju svoje tajne ključeve u softveru aplikacije, na sličan način kao što ljudi čuvaju korisnička i imena i šifre za pristupanje nalozima na društvenim mrežama. Zbog toga hakeri mogu pristupiti aplikaciji čak i ako se ona ne koristi aktivno.

Džejson Nije tvrdi da su čak i “Top Developers”, oni koji su proglašeni za najbolje programere na Google Play-u, imali takve propuste u svojim aplikacijama.

– Google sada koristi naše tehnike, kako bi proaktivno skenirao aplikacije i sprečavao takve propuste u budućnosti – izjavio je Džejson Nije.

Programeri su počeli da dobijaju obaveštenja od Google-a da poprave aplikacije i uklone tajne ključeve.

Izvor: Telegraf