De wetenschappers, werkzaam bij de Leibniz universiteit van Hannover en de Philipps universiteit van Marburg, hebben niet bekendgemaakt om welke apps het precies gaat. Een flink aantal Androidgebruikers zou zich in de gevarenzone kunnen bevinden, want de onderzochte apps zijn tussen de 39,5 en 185 miljoen keer gedownload. De onderzoekers geven vooral websites en autoriteiten de schuld die beveiligingscertificaten uitgeven, meldt Techradar.

De wetenschappers hebben het gebruik van apps gesimuleerd op een lokaal netwerk om een reeks van bekende kwetsbaarheden te testen waarbij gevoelige informatie kan worden gestolen. Bij het gebruik van de betreffende apps slaagden zij erin om door de secure socket layers (ssl) en transport layer security (tls) protocollen te breken. Met deze protocollen worden de apps beveiligd. Als deze beveiligingsprotocollen niet goed zijn geïmplementeerd in de apps, dan kunnen lekken ontstaan in de software of op websites.

Door de lekken zeggen de onderzoekers gevoelige bankgegevens te hebben verzameld van PayPal, American Express en anderen. Daarnaast konden zij gegevens over Facebook, e-mail en gegevens van clouddiensten inzien, verkregen zij de toegang tot webcams en de controle over remote servers.

Mogelijk zijn deze 41 apps slechts het topje van de ijsberg. De wetenschappers startten het onderzoek met de download van 13.500 gratis apps van Google Play en testten daarna of bij deze apps het ssl-protocol goed was toegepast. Daaruit bleek dat 8 procent van de apps (1.074 stuks) kwetsbaarheden vertoonden, waarbij 100 apps verder zijn onderzocht in de testopstelling.

Het goede nieuws is dat geen enkele app van Google zelf kuren vertoonde. Mogelijk kunnen de programmeurs van Google de andere ontwikkelaars begeleiden bij de beveiliging van hun apps.