Keys en geheime info in honderden Android-apps

Fallible ontwikkelde vorige jaar een tool voor geautomatiseerde reverse engineering van Android-apps. Inmiddels zijn zeker 16.000 apps hiermee onderzocht. Daaruit blijkt dat in 2500 van deze apps hard coded keys of geheimen zijn te vinden. Ze kunnen data lekken die betrekking hebben op een groot aantal populaire online diensten zoals Twitter, Dropbox, Flickr, Uber en Amazon Web Service. Zulke lekken kunnen zeer schadelijk zijn voor zowel de gebruiker als de getroffen organisatie, benadrukken de onderzoekers van Fallible.

Zeer schadelijk

In 304 van de gecontroleerde apps bevinden zich keys en geheime informatie die tot grote schade kunnen leiden. Fallible laat weten dat dat de geheime informatie die zij aantrof in deze apps varieert van inloggegevens voor AWS waarmee volledige toegang gekregen kan worden tot API-geheimen bij van onder meer Uber, Twitter, Dropbox en Instagram.”

Advies

Fallible heeft een advies voor app-ontwikkelaars: “Als je welke API-sleutel of -token dan ook hard codeert in je app, denk dan even hard na of het werkelijk nodig is om dit hard te coderen, begrijp goed wat het gebruik van API inhoudt en ken de reikwijdte van de tokens.”

En een advies aan de opdrachtgevers van de app-ontwikkelaars: “Waarschuw en instrueer de ontwikkelaars duidelijk dat ze dergelijke geheimen niet in apps zetten."