:

Szerző: Hlács Ferenc

2018. november 27. 14:56

A kiemelt címek közé is bejutottak a csalóappok a Play Store-ban

A Cheetah Mobile és Kika Tech appjai illetéktelenül gyűjtöttek be telepítési bónuszokat, ezzel potenciálisan számos fejlesztőt megkárosítva.

Ismét rosszindulatú, hirdetési csalásra kihegyezett alkalmazások kerültek fel a Play Store-ba, méghozzá legnagyobb részben a kínai Cheetah Mobile gondozásában. Az appokat a Kochava analitikai cég fedezte fel, eredményeiről pedig a BuzzFeed News hasábjain számolt be. Eszerint a nyolc frissen elcsípett kifogásolható alkalmazásból hét a kínai vállalat neve alatt volt elérhető a Google androidos alkalmazásboltjában, a keresőóriás ráadásul némelyiket a Play Store kiemelt appjai között is feltüntette. Sejthető tehát hogy nem alig ismert rétegappokról van szó, a nyolc renitens alkalmazást összesen több mint 2 milliárd alkalommal töltötték le.

A New York-i tőzsdén is jegyzett Cheetah Mobile neve ismerősen csenghet, ahhoz számos androidos app kötődik amelyek sok esetben jóval szélesebb körű alkalmazásengedélyeket kérnek a felhasználóktól, mint azt funkcióik indokolnák. A fenti ügyben egész pontosan a cég Clean Master, CM File Manager, CM Launcher 3D, Security Master, Battery Doctor és CM Locker alkalmazásai érintettek - ezekből a Clean Master egyedül több mint egymilliárd letöltésnél jár. A nyolcadik app a szintén kínai Kika Tech fejlesztőcsapat Kika Keyboardja, az XDA Developers szerint ez utóbbi is több mint 200 millió letöltésnél jár - a Kika Tech befektetői között egyébként a Cheetah Mobile is ott van.

cheetahmobile

Az érintett appok fejlesztői a telepítési bónuszokkal éltek vissza. Egyes cégek ugyanis referer bónuszokat osztanak, ha alkalmazásaikat a felhasználók egy másik app hirdetésén keresztül telepítik - ezek összege telepítésenként jellemzően 0,5-3 dollár környékén mozog. A telepítéseket a Google Play Install Referer API-val van lehetőségük követni a fejlesztőknek - ezt sikerült a Kika Tech és a Cheeta Mobile alkalmazásainak kijátszaniuk. A renitens appok folyamatosan figyelték, hogy a felhasználó milyen tartalmakat tölt le a készülékre, majd a jutalmazott appoknál maguk jelentkeztek a bónuszért - ehhez akár maguk meg is nyitották a szoftvereket, hogy elhitessék a fejlesztővel, hogy rajtuk keresztül került az app a telefonra.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A "click flooding" vagy "click injection" néven is emlegetett támadásokkal kapcsolatos vádakat mindkét vállalat tagadta, arra hivatkozva, hogy azokért az appokba ágyazott, külső felektől származó SDK-k felelnek. A Kochava azonban ezt gyorsan cáfolta, mondván, a csalásokért felelős SDK - a Cheetah Mobile-nál legalábbis - saját fejlesztés.

Jelen esetben tehát az áldozatok nem elsősorban a felhasználók - nekik leginkább a megugró fogyasztás és adathasználat miatt fájhat a fejük - sokkal inkább a fejlesztők, akiket a hasonló eléréssel rendelkező csalóappok súlyosan meg tudnak károsítani. A BuzzFeed által idézett elemzők szerint az elmúlt évben a hasonló csalások által okozott kár az 1,7 milliárd dollárt is elérhette.

A Google jelenleg is vizsgálja az ügyet, az azonban már most világosan látszik, hogy a keresőóriás alkalmazásboltja nem rendelkezik megfelelő védelemmel a hasonló kártékony appok kiszűrésére. De az eset nem csak a Play Store hiányosságai miatt aggasztó, hanem azért is, mert nem egy renegát fejlesztő próbálkozásáról van szó, hanem egy tőzsdén jegyzett cég alkalmazásairól - a Cheetah Mobile-lal ráadásul korábban többek között a Microsoft és a Samsung is folytatott együttműködést. Az valószínűleg magától értetődik, hogy ha valaki a fenti alkalmazások valamelyikét használja, javasolt azt haladéktalanul eltávolítania készülékéről. Az új appk telepítésénél továbbá érdemes odafigyelni, hogy azok milyen alkalmazásengedélyeket igényelnek, ha pedig olyan pontok is szerepelnek a listában, amelyeket a törzsfunkcionalitás nem indokol, érdemes lehet inkább alternatív app után nézni.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról