Σημαντικό πρόβλημα ασφαλείας στο Google Play ανέφεραν ότι εντόπισαν οι Τζέισον Νιέ, καθηγητής επιστήμης υπολογιστών του Columbia Engineering και ο Νίκολας Βιενό, υποψήφιος PhD, στη συνδιάσκεψη ACM SIGMETRICS.
Σημαντικό πρόβλημα ασφαλείας στο Google Play ανέφεραν ότι εντόπισαν οι Τζέισον Νιέ, καθηγητής επιστήμης υπολογιστών του Columbia Engineering και ο Νίκολας Βιενό, υποψήφιος PhD, στη συνδιάσκεψη ACM SIGMETRICS.
Οι δύο ερευνητές παρουσίασαν το σχετικό paper στη συνδιάσκεψη, αποσπώντας το Ken Sevcik Outstanding Student Paper Award.
«Το Google Play έχει πάνω από ένα εκατ. εφαρμογές και πάνω από 50 δισ. downloads, αλλά κανείς δεν εξετάζει τι ανεβαίνει σε αυτό- ο καθένας μπορεί να αποκτήσει έναν λογαριασμό των 25 δολαρίων και να ανεβάσει ό,τι επιθυμεί. Γνωρίζουμε πολύ λίγα για το τι βρίσκεται εκεί σε συνολικό επίπεδο» σημειώνει ο Νιέ. «Δεδομένης της υψηλής δημοτικότητας του Google Play και των πιθανών κινδύνων για εκατομμύρια χρήστες, θεωρήσαμε ότι ήταν σημαντικό να εξετάσουμε από πιο κοντά το περιεχόμενό του».
Το paper των Νιέ και Βιενό είναι το πρώτο στο οποίο παρατίθεται μία μεγάλης έκτασης μελέτη/ μέτρηση της μεγάλης αγοράς του Google Play. Για αυτόν τον σκοπό ανέπτυξαν το PlayDrone, ένα εργαλείο το οποίο χρησιμοποιεί διάφορες τεχνικές hacking για να παρακάμψει τα υπάρχοντα μέτρα ασφαλείας προκειμένου να κατεβάσει εφαρμογές και να ανακτήσει τις «πηγές» (sources) τους.
Οι Νιέ και Βιενό ανακάλυψαν έναν τεράστιο όγκο νέων πληροφοριών για το περιεχόμενο του Google Play, περιλαμβανομένου ενός σημαντικού προβλήματος ασφαλείας: οι developers συχνά αποθηκεύουν τα μυστικά «κλειδιά» (keys) τους στο λογισμικό των εφαρμογών τους, τα οποία μπορούν να ανακτηθούν και να χρησιμοποιηθούν για κακόβολους σκοπούς, όπως η υποκλοπή δεδομένων χρηστών.
Όπως σημειώνει ο Νιέ, ακόμα και «Top Developers» (υποδεικνύονται από το Google Play ως οι καλύτεροι developers εντός του) παρουσιάζουν τέτοιου είδους προβλήματα στις εφαρμογές τους.
«Συνεργαζόμαστε στενά με τη Google, την Amazon, το Facebook και άλλους παρόχους υπηρεσιών για να υποδείξουμε και να ενημερώσουμε πελάτες που διατρέχουν κίνδυνο και να καταστήσουμε πιο ασφαλές το Google Play» σημειώνει ο Βιενό. «Η Google πλέον χρησιμοποιεί τις τεχνικές μας για να ελέγχει προληπτικά εφαρμογές για τέτοιου είδους προβλήματα, για να αποφευχθεί ξανά κάτι τέτοιο στο μέλλον». Όπως προσθέτει ο Νιέ, developers ήδη έχουν αρχίσει να λαμβάνουν σχετικές ενημερώσεις από τη Google για να διορθώσουν τις εφαρμογές τους και να απομακρύνουν τα «κλειδιά» τους.
Οι δύο ερευνητές ελπίζουν ότι το PlayDrone θα θέσει τις βάσεις για νέα είδη ανάλυσης των εφαρμογών Android. «Η δουλειά μας καθιστά δυνατή την ανάλυση των εφαρμογών Android σε μεγάλη κλίμακα με νέους τρόπους, και αναμένουμε ότι το PlayDrone θα αποτελέσει χρήσιμο εργαλείο για την καλύτερη κατανόηση εφαρμογών Android και τη βελτίωση της ποιότητας του περιεχομένου του Google Play» υποστηρίζει ο Νιέ.
Πέρα από το συγκεκριμένο ζήτημα, η μελέτη έδειξε ότι περίπου το ¼ του συνόλου των δωρεάν εφαρμογών του Google Play είναι «κλώνοι» - αντιγραφές άλλων εφαρμογών που υπάρχουν ήδη στο κατάστημα. Επίσης, εντοπίστηκε ένα πρόβλημα επιδόσεων που επιβράδυνε τις αγορές εφαρμογών, το οποίο έχει διορθωθεί.