Các nhà phát triển ứng dụng trên Google Play thường lưu các khoá bí mật (secret keys) trong phần mềm ứng dụng, và những khoá bí mật này có thể bị bất cứ ai sử dụng nhằm lấy cắp dữ liệu người dùng.
Trong bài trình bày đạt Giải thưởng Nghiên cứu Danh giá Ken Sevcik tại hội thảo ACM SIGMETRICS diễn ra hôm qua (18/6), Jason Nieh, giáo sư khoa học máy tính của trường Đại học kỹ thuật Columbia, cùng với ứng cử viên tiến sỹ Nicolas Viennot cho biết họ đã phát hiện ra một lỗi bảo mật nghiêm trọng trong kho ứng dụng Google Play.
Một số khoá bí mật của các ứng dụng trên Google Play, bao gồm cả Facebook và LinkedIn đã bị phát hiện
"Google Play có hơn 1 triệu ứng dụng và trên 50 triệu lượt tải ứng dụng [mỗi ngày], nhưng không ai xem xét Google Play chứa những gì. Bất cứ ai cũng có thể lập một tài khoản trị giá 25 USD và tải lên Google Play bất cứ gì họ muốn", Nieh nói. Giáo sư Nieh cũng là thành viên của Viện Khoa học dữ liệu và Trung tâm an ninh mạng của trường Đại học. "Với sự phổ biến rộng rãi của Google Play và những rủi ro tiềm ẩn đối với hàng triệu người dùng, chúng tôi nghĩ cần phải có cái nhìn sát sao hơn với các nội dung trên Google Play".
Nghiên cứu của Nieh và Viennot cũng là nghiên cứu đầu tiên tiến hành đánh giá quy mô rộng về cửa hàng ứng dụng Google Play. Để thực hiện nghiên cứu này, họ đã phát triển PlayDrone, một công cụ dùng các kỹ thuật tấn công khác nhau để phá vỡ mạng lưới bảo mật của Google nhằm tải thành công các ứng dụng Google Play và phục hồi các nguồn. PlayDrone hoạt động đơn giản bằng cách thêm máy chủ và thu thập nhanh thông tin hàng ngày về Google Play, tải hơn 1,1 triệu ứng dụng Android và hồi dịch hơn 880.000 ứng dụng miễn phí.
Nieh và Viennot đã tiết lộ tất cả các loại thông tin mới về nội dung trong Google Play, trong đó có cả một vấn đề bảo mật nghiêm trọng: các nhà phát triển thường lưu các khoá bí mật của họ trong phần mềm ứng dụng, tương tự như thông tin người dùng/mật khẩu, và những khoá bí mật này có thể bị bất cứ ai sử dụng nhằm lấy cắp dữ liệu người dùng hoặc các nguồn từ các nhà cung cấp dịch vụ như Amazon và Facebook. Các lỗ hổng này có thể ảnh hưởng đến người dùng thậm chí khi họ không chủ động chạy các ứng dụng Android. Nieh lưu ý ngay cả "các nhà phát triển hàng đầu" cũng mắc lỗi này trong các ứng dụng của họ.
"Chúng tôi đã làm việc với Google, Amazon, Facebook và các nhà cung cấp dịch vụ khác để xác định và thông báo cho khách hàng về rủi ro, đồng thời giúp Google Play an toàn hơn", Viennot nói. "Hiện Google đang dùng các kỹ thuật của chúng tôi để rà soát lại các ứng dụng nhằm ngăn chặn nguy cơ trong tương lai".
Nieh cho biết thêm, các nhà phát triển đã nhận được thông báo của Google để sửa ứng dụng và gỡ các khoá bí mật này.
Ngoài ra, nghiên cứu của họ còn phát hiện ra có gần 1/4 các ứng dụng miễn phí trên Google Play đều là những ứng dụng sao chép lại các ứng dụng đã có trong Google Play. Trong danh sách 10 ứng dụng được đánh gia tốt nhất và 10 ứng dụng bị đánh giá tệ nhật, có cả những ứng dụng mặc dù bị đánh giá tệ nhất, song vẫn có hơn... 1 triệu lượt tải về.