Secret Key уже не секрет

Сотрудники Колумбийской школы инженерных и прикладных наук нашли повсеместную уязвимость в приложениях для Android. Для того, чтобы подтвердить свое предположение, они создали специальную программу, которая ежедневно скачивает и проверяет код миллиона бесплатных приложений из Google Play. Оказалось, что разработчики, использующие в своих приложениях связку с такими сервисами, как Facebook и Amazon, оставляют свой уникальный ключ доступа через API (Secret Key) практически в открытом виде. Это все равно, что оставить в открытом виде данные своей кредитной карты.

Имея этот ключ, злоумышленники могут получить контроль над соответствующими ресурсами, например, страницей в Facebook. Уязвимость стала известна только сейчас, хотя не исключено, что ею уже пользуются те, кому хочется получить доступ к чужой, пусть и виртуальной, собственности. Со своей стороны Google уже начал анализ приложений в Play и предупреждает разработчиков о необходимости устранить уязвимость.