Zo blijkt dat developers regelmatig gevoelige sleutels, zoals OAuth tokens, in hun broncode achterlaten. Deze inlogcodes bieden toegang tot bijvoorbeeld clouddiensten van Amazon (AWS), maar ook de koppeling met bijvoorbeeld accounts van Google, Twitter en Facebook.

Sleutel tot accountkoppeling eindgebruikers

Normaliter staan deze sleutels ergens veilig op een server, maar Jason Nieh en consorten van de Columbia universiteit ontdekten er duizenden in de broncode van apps. Deze sleutels geven dus toegang tot alle machtigingen die eindgebruikers van de app hebben gegeven tijdens de OAuth-koppeling aan hun Google-, Twitter of Facebook-account, schrijven de onderzoekers.

Het is geen onbekend probleem. In de grootste publieke vergaarbak van softwarecode, Github, zijn zonder veel moeite tienduizenden sleutels en wachtwoorden te achterhalen. Google heeft inmiddels zijn les geleerd, meldt professor Nieh, en scant apps die worden geüpload naar de Play Store nu op rondslingerende sleutels.

1% apps goed voor 80% downloads

Andere interessant weetjes uit de analyse: ongeveer een kwart van alle apps is een kloon van een andere app. En de top 1 procent populairste apps is goed voor 80 procent van alle downloads. Dit alles konden de onderzoekers deduceren na een maandenlange hackoperatie 'PlayDrone', waarmee de Google Play store werd geïndexeerd en stelselmatig alle apps werden gedownload en uitgepakt.