Zapewne niektórym obiła się o uszy nazwa Shein. To założony w 2008 roku chiński koncern odzieżowy, wpisujący się w segment tak zwanej szybkiej mody. Wyróżniają go niskie ceny ubrań w połączeniu z bardzo silną obecnością w internecie (Shein sprzedaje wyłącznie online). W 2022 roku ten chiński gigant stał się najpopularniejszą marką odzieżową na świecie.
Okazało się jednak, że aplikacja mobilna Shein, pobrana przez 100 milionów osób ze sklepu Google Play, uzyskiwała dostęp do danych użytkowników. A konkretnie przechwytywała zawartość systemowego schowka i przesyłała ją na zdalny serwer. Nie wiadomo, czy było to celowe działanie twórców aplikacji — mógł to być po prostu błąd programistów.
Microsoft zwraca uwagę na problem z Shein
Starsza wersja aplikacji na Androida, jak zauważono na blogu Microsoftu, przez kilka miesięcy gromadziła zawartość schowka użytkowników, a następnie wysyłała wszystko na zdalny serwer. Dodano też, że nie zarejestrowano żadnych szkodliwych efektów związanych z tym działaniem, niemniej korzystanie z zawartości schowka na pewno nie było czynnością konieczną do poprawnego działania aplikacji.
Oto przykład algorytmu działania aplikacji Shein, który skutkował dostępem do schowka:
Przypadek ten pokazuje zagrożenia, jakie mogą stwarzać zainstalowane aplikacje — także te popularne i pochodzące z oficjalnego sklepu z aplikacjami. W schowku mogą być przechowywane bowiem wrażliwe dane, na przykład skopiowane hasła.
Osoby, które regularnie aktualizują aplikacje, mogą spać spokojnie. Błąd dotyczył wersji 7.9.2 z 16 grudnia 2021 roku i został usunięty w maju 2022 roku.
Reakcja Google
Zresztą, bazując na wynikach badań Microsoft, Google zdążył wdrożyć działania, które mają na celu usunięcie potencjalnych zagrożeń, związanych z dostępem do schowka:
- W systemie Android 10 i nowszych aplikacje nie mogą uzyskiwać dostępu do danych ze schowka, chyba że jest on ustawiony jako domyślny edytor metody wprowadzania tekstu.
- W systemie Android 12 i nowszych wyskakująca wiadomość powiadamia użytkownika o dostępie do schowka, gdy aplikacja po raz pierwszy żąda dostępu do danych z innej aplikacji.
- W systemie Android 13 zawartość schowka zostaje po pewnym czasie wyczyszczona w celu zwiększenia bezpieczeństwa danych.