Недавнее исследование, представленное только вчера профессором компьютерных наук Колумбийского университета Джейсоном Ни и аспирантом Николасом Вьенно, возможно, является наиболее полным на сегодняшний день анализом магазина Google Play и некоторых проблем, от которых он страдает. Плохая новость заключается в том, что исследователи смогли обнаружить то, что они считают довольно серьезной уязвимостью в безопасности (TheLoop через Phys.org):
Ни и Вьенно обнаружили всевозможную новую информацию о содержимом Google Play, включая критическую проблему безопасности: разработчики часто хранят свои секретные ключи в программном обеспечении своих приложений, подобно информации о логинах/паролях, и эти ключи затем могут быть использованы кем угодно для злонамеренной кражи пользовательских данных или ресурсов от поставщиков услуг, таких как Amazon и Facebook. Эти уязвимости могут затронуть пользователей, даже если они не активно используют приложения Android. Ни отмечает, что даже «Ведущие разработчики», обозначенные командой Google Play как лучшие разработчики на Google Play, включали эти уязвимости в свои приложения.
Согласно отчету, Google сотрудничает с исследователями, чтобы предотвратить подобные проблемы в будущем, и уже начала процесс информирования разработчиков о необходимых изменениях:
«Мы тесно сотрудничали с Google, Amazon, Facebook и другими поставщиками услуг, чтобы выявить и уведомить подверженных риску клиентов, а также сделать магазин Google Play более безопасным местом», — говорит Вьенно. «Google теперь использует наши методы для проактивного сканирования приложений на наличие этих проблем, чтобы предотвратить их повторное возникновение в будущем».
Еще в апреле, Google объявила, что вскоре начнет постоянно сканировать приложения на наличие вредоносных программ даже после установки, чтобы повысить общую безопасность приложений и сократить количество вредоносных программ, проходящих первоначальный процесс одобрения для Google Play.
Полное исследование также привело к другим интересным выводам. Например, исследователи обнаружили, что около четверти бесплатных приложений Google Play являются клонами других приложений. Полное исследование можно просмотреть онлайн здесь.
Другая исследовательская фирма, FireEye, сделала свои собственные открытия относительно уязвимостей Google Play в недавнем отчете, подробно описывающем то, что она называет новым типом вредоносного ПО.
Мы обратились к Google за комментарием, но не получили немедленного ответа.