CyberNewsは8月31日(米国時間)、「Android apps leak hard-coded secrets|Cybernews」において数千のAndroidアプリがハードコードされた機密情報を持っていると伝えた。悪意のある行為者が対象のアプリを分析するだけで、APIキー、Google Storageバケット、保護されていないデータベースにアクセスし、取得した情報を悪用して利益を得ることができるという。
Cybernewsの調査によって、対象となった3万のAndroidアプリのうち半数以上が、アプリ開発者とそのユーザの双方に大きな影響を与える可能性のある機密情報を漏洩していることが明らかとなった。調査チームが、Google playストアにある3万以上のAndroidアプリを1カ月間調査した結果、分析したアプリの55.94%(18,647個)にさまざまなAPI(アプリケーション・プログラミング・インタフェース)キーや、企業やユーザの機密データを保持するオープンデータベースへのリンクなど、ハードコードされた機密情報があることがわかった。
また、合計で12万4,000以上の文字列が機密データを漏洩する可能性があることが判明されている。最もハードコーディングされた機密情報を持つアプリは、健康とフィットネス、教育、ツール、ライフスタイル、ビジネスの5つのカテゴリ内に多かったと分析されている。
Cybernewsのセキュリティ研究者であるVincentas Baubonis氏は、Androidアプリのクライアント側に機密データをハードコーディングすることはよいアイデアとは言えないと指摘しており、ほとんどの場合、リバースエンジニアリングによって簡単にアクセスすることができると述べている。
