Als de privésleutel onderschept wordt, kan informatie uit de app uitgelezen worden. Zeker met apps die gevoelige informatie versturen, is dat een risico. Bovendien is het voor een ontwikkelaar niet nodig om de privésleutels mee te sturen.

'Duizenden' apps

Het is niet duidelijk om hoeveel apps het precies gaat, maar volgens de onderzoeker gaat het om 'enkele duizenden apps', waaronder die van Amazon, Facebook en LinkedIn. Al die apps bevatten gevoeilige privé-informatie.

Waarschuwing

Naar aanleiding van het onderzoek scant Google voortaan alle apps in de Play Store automatisch op aanwezige privésleutels. Ontwikkelaars die die toch meesturen in de app, krijgen van de internetgigant een waarschuwing daarmee te stoppen.

Eigen tool

De onderzoekers ontdekten het probleem door de apps automatisch te analyseren tijdens het downloaden. De tool die zij daarvoor bouwden, PlayDrone, zag ook dat ruim een kwart van de apps in de Play Store een kopie is van een andere app.