Google se nedávno pochlubil svými kontrolními mechanismy, které chrání uživatele a údajně nepustí na Google Play žádnou nebezpečnou aplikaci. Jenže tohle vychloubání bylo asi až moc sebestředné. Teď se totiž ukázalo, že v Obchodě Play byly ještě nedávno ke stažení hned dvě aplikace, které ohrozily data uživatelů.
Podle nedávné statistiky Google jen v loňském roce zablokoval okolo 80 000 vývojářských účtů a smazal statisíce potenciálně nebezpečných aplikací. Jeho pozornosti ale unikl vývojář s přezdívkou IDMerit, který má na Google Play několik aplikací. A nová zpráva upozorňuje především na dvě z nich. Obě totiž ohrozily data uživatelů.
Nejnebezpečnější aplikací je jeho Video AI Art Generator & Maker. Jak plyne z názvu, s pomocí umělé inteligence v ní můžete snadno tvořit videa za pomoci nahrávaných obrázků a videí. Zní to jako náramná zábava a nechalo se k ní zlákat přes 500 000 majitelů zařízení s Androidem. Jenže magazín Forbes zjistil, že obrázky, videa i data uživatelů unikají neznámo kam. Celkem se přitom jedná o více než:
- 1,5 milionu obrázků uživatelů
- 385 000 videí uživatelů
- 2,87 milionu vygenerovaných videí
- 2,87 milionu vygenerovaných obrázků
- asi 8,27 milionu mediálních souborů
Aplikace fungovala od června 2023 a chybu způsobilo nesprávné nastavení na Google Cloud Storage, kde se k uloženým souborům mohl dostat kdokoliv. I když tak možná nebylo cílem vydavatele ohrozit data uživatelů, stalo se to. Google už aplikaci sice skryl, ale až po více než 2,5 letech fungování a nabourávání soukromí uživatelů.
Fotogalerie
Únik miliardy osobních záznamů
Tentýž vývojář má ale ještě větší problém. Na Google Play totiž umístil i aplikaci IDMerit, která odhalila osobní a profesní informace uživatelů. Ty jsou přitom pro mnoho firem neocenitelnou studnicí dat a jsou ochotny dát za ně cokoliv. Málokdo si ale přeje, aby se tyto nejosobnější informace dostaly do nepovolaných rukou – třeba k hackerům nebo podvodníkům.
Kvůli pochybné aplikaci unikla data uživatelů z 26 států včetně USA, Německa, Francie, Číny či Brazílie. Celkem šlo o zhruba jednu miliardu osobních údajů a nejde o žádná anonymizovaná data, nýbrž o:
- celá jména
- adresy
- PSČ
- data narození
- národní identifikační čísla
- telefonní čísla
- pohlaví
- e-mailové adresy
S pomocí těchto dat mohou podvodníci snadno zneužít bankovní účty, pustit se do obchodování s cennými papíry nebo využít kreditní karty dotyčných. Nemluvě o možnosti půjček a dalších zločinných činností. Únik přitom opět nejspíš nebyl cílený, ale šlo o využití nevhodné technologie, kdy se citlivé informace jako hesla nebo šifrovací klíče vkládají přímo do zdrojového kódu aplikace.
A bohužel nejde jen o dvě konkrétní aplikace zaměřené na AI. Portál Cybernews zjistil, že podobná nedostatečně zabezpečená technologie je použita u 72 % analyzovaných aplikací. A týká se to především těch, které lákají na kouzlení s AI funkcemi.
Kompromitovaný vývojář dvou výše popsaných aplikací už svou chybu napravil a zvýšil zabezpečení. Spousta zranitelných aplikací ale na Google Play zůstává i nadále a běžný uživatel vůbec netuší, jaká data jejich používáním dává všanc. A Google? Ten nabízí svůj nástroj Play Protect, který údajně na tyto aplikace upozorní. Ale i tak se obávám, že ani přes své pokročilé algoritmy nestíhá potírat nevhodné aplikace a k uživatelům se dostávají ve velké míře i ty rizikové.
