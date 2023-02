Wśród ujawnionych danych są loginy, niezaszyfrowane historie rozmów, a także numery IMEI telefonów. Ale właściwy problem jest bardziej ogólny.

Szkodliwe aplikacje w Sklepie Play to nic nowego, jednak tym razem temat jest nietypowy. Co do zasady komunikator głosowy OyeTalk, łącznie pobrany ponad 5 mln razy, wcale nie miał być szkodliwy. Niestety niechlujność jego twórców sprawia, że dane użytkowników trafiły do sieci.

Ważąca około 500 MB baza danych aplikacji nie była chroniona hasłem – zauważyli badacze z grupy Cybernews. Oznacza to, że każdy mógł wejść jak do siebie i po prostu pobrać jej zawartość. Albo całość w ramach psikusa usunąć, pozbawiając użytkowników historii, choć na to drugie akurat nikt się nie zdecydował.

Zostawili otwartą bazę danych, a na tym nie koniec

Powód zamieszania jest prozaiczny. Deweloper, tworząc OyeTalk, odstawił koncertową fuszerkę. Jak wylicza Cybernews, zasadniczych wpadek jest kilka, a pozostawienie niezahasłowanej bazy danych to tylko jedna z nich.

Badacze zauważają, że dane potencjalnie wrażliwe, takie jak klucze API czy adresy powiązanych repozytoriów, zakodowano po stronie użytkownika. Czyni je to niezwykle łatwymi do pozyskania w procesie inżynierii wstecznej. Zastanawia ponadto uporczywe zaciąganie numeru IMEI, który komunikator rozsiewał przy każdej wysyłanej wiadomości.

Tyle dobrego, że – prócz wspomnianego IMEI-u – OyeTalk dysponował co najwyżej loginami i historią rozmów. Nie zbierał numerów telefonów, więc te nie wyciekły. Podobnie w kwestii nazwisk czy adresów użytkowników.

Przy czym cała ta sytuacja obrazuje tak naprawdę inny, bardziej globalny problem. Budując OyeTalk, twórcy skorzystali z platformy Google Firebase, upraszczającej poszczególne procesy, a co za tym idzie umożliwiającej wejście na rynek nawet totalnym amatorom. A jak się amatorka kończy, każdy może niniejszym zobaczyć.

Tymczasem boom na aplikacje mobilne trwa. Nowe apki tworzą miliony podmiotów, nierzadko zupełnie świeżych, w dodatku często na kolanie, gonieni terminami narzuconymi przez inwestorów. Przypadek OyeTalk nie jest pierwszy i niestety raczej nie będzie ostatni.

