DAJ CYNK

Google Sklep Play. Znana aplikacja wykradała dane, pobrało 100 mln osób

Piotr Urbaniak (gtxxor)

Aplikacje

Google Sklep Play. Znana aplikacja wykradała dane, pobrało 100 mln osób

Aplikacja zakupowa Shein, którą wedle statystyk pobrano ponad 100 mln razy, przechwytywała zawartość schowka, po czym przesyłała ją do zdalnego serwera.

Jak doskonale wiadomo, zagrożenia w aplikacjach nie zawsze muszą wynikać z celowego działania twórców. Bywa, że są dziełem przypadku; niechlujności programisty czy braku przewidywania konsekwencji. 

Właśnie taki, nieświadomy błąd pojawił się w aplikacji szalenie popularnego e-commerce'u odzieżowego Shein. Wersja na Androida, jak zauważa Microsoft 365 Defender Research Team, przez kilka miesięcy zbierała zawartość schowka użytkowników, po czym przesyłała wszystko do serwera zdalnego. 

Na wstępie – spokojnie. Jeśli tylko na bieżąco aktualizujesz aplikacje, to problemu już nie ma. Powstał w wersji 7.9.2 z 16 grudnia 2021 roku i został usunięty w maju 2022 roku.

Zespół Microsoftu podkreśla również, że „nie jest świadomy żadnych złośliwych zamiarów stojących za tym zachowaniem”, choć przyznaje, że funkcja kopiowania schowka była kompletnie zbędna. Słowem, nie wykorzystano jej w żadnym konstruktywnym celu. Za to wykonywano już w momencie odpalenia aplikacji, wysyłając żądanie do oficjalnego API.

Geneza wpadki jest niejasna, a badacze spekulować nie próbują. Ale można zgadywać, że chociażby przesadzono z telemetrią na potrzeby ewentualnego remarketingu – a potem się z tego pomysłu wycofano, jeszcze przed wdrożeniem na produkcję.

Tak czy inaczej, zasadniczy wniosek ma szerszą skalę. Microsoft 365 Defender Research Team zwraca bowiem uwagę na zagrożenia płynące z odczytu schowka, zważywszy m.in. na częstotliwość kopiowania przez użytkowników haseł i innych poufnych danych.

Zauważmy jednak, że obecnie, gdy dana apka uzyskuje do schowka dostęp, system Android o zaistniałym zdarzeniu powiadamia. Sama świadomość zagrożenia wprawdzie nie eliminuje, ale z pewnością pozwala na jego szybsze wykrycie.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: sdx15 / Shutterstock

Źródło tekstu: Microsoft, oprac. własne