Tady selhaly všechny bezpečnostní pojistky: aplikace v Play Store kradou uživatelům Androidu data
Kdo stahuje aplikace z oficiálního obchodu Google Play, obvykle věří, že jeho data jsou v bezpečí. Jenže i na této platformě se mohou skrývat programy, které vaše soukromí chrání jen na papíře. Bezpečnostní výzkumníci nedávno odhalili dvě aplikace od stejného vývojáře, kvůli kterým byly osobní fotografie, videa i citlivé dokumenty milionů uživatelů volně přístupné na internetu.
Populární aplikace s otevřeným úložištěm
Aplikace s názvem Video AI Art Generator & Maker slibovala rychlé úpravy fotografií a tvorbu obsahu pomocí umělé inteligence. V obchodě Play ji stáhlo přes půl milionu uživatelů, měla hodnocení 4,3 hvězdičky a více než jedenáct tisíc recenzí. Na první pohled tedy vypadala jako důvěryhodný nástroj.
Analytici z portálu Cybernews ale zjistili, že vývojář špatně nastavil cloudové úložiště, kam se ukládaly soubory uživatelů. Server nevyžadoval žádné heslo ani ověření, takže si kdokoli mohl prohlédnout cizí fotky a videa. Pro laika si to lze představit, jako byste do trezoru uložili všechny cennosti, ale zapomněli k němu namontovat dveře.
Rozsah úniku byl obrovský. Celkem šlo o více než dvanáct terabajtů dat, tedy zhruba 8,27 milionu mediálních souborů. Z nich bylo přes 1,5 milionu skutečných fotografií uživatelů a přes 385 tisíc videí. Úložiště přitom shromažďovalo data od spuštění aplikace v červnu 2023, takže šlo o kompletní archiv všeho, co uživatelé kdy nahráli.
Osobní doklady volně na internetu
Případ se nezastavil u fotek a videí. Stejný vývojář, turecká společnost Codeway, stojí i za druhou problematickou aplikací nazvanou IDMerit. Ta sloužila k ověřování identity uživatelů, a proto pracovala s obzvlášť citlivými daty.
Šlo o takzvané KYC údaje, které běžně shromažďují banky a finanční instituce při ověřování totožnosti klientů. V tomto případě unikla celá jména, adresy bydliště, data narození, čísla osobních dokladů, telefonní čísla i e-mailové adresy. Zasaženi byli uživatelé z 26 zemí světa. Taková kombinace údajů je pro podvodníky mimořádně cenná, protože s ní mohou krást identity nebo provádět cílené podvodné útoky.
Proč se to děje stále dokola
Podle zjištění Cybernews za podobnými úniky často stojí jedna konkrétní chyba vývojářů. Ti zakódují citlivé přístupové údaje, například hesla nebo šifrovací klíče, přímo do zdrojového kódu aplikace. Odborníci tomu říkají „hardcoded secrets" a jde o jednu z nejčastějších bezpečnostních slabin vůbec. Výzkum Cybernews ukázal, že tuto slabinu obsahuje plných 72 procent analyzovaných aplikací v Google Play.
Co s tím mohou uživatelé dělat
Google na situaci zareagoval a aplikaci Video AI Art Generator & Maker z obchodu Play stáhl. Společnost Codeway rovněž zabezpečila přístup k datům u aplikace IDMerit, ovšem až po opakovaných upozorněních ze strany výzkumníků.
Pro běžné uživatele z toho plyne několik praktických poučení. Před instalací jakékoli aplikace se vyplatí ověřit, kdo za ní stojí. Pokud aplikace požaduje přístup k funkcím telefonu, které ke své činnosti zjevně nepotřebuje, je to varovný signál. Užitečná je také pravidelná kontrola pomocí služby Google Play Protect, která dokáže odhalit podezřelé chování nainstalovaných programů. Ani oficiální obchod totiž nezaručuje stoprocentní bezpečnost a jistou dávku obezřetnosti je potřeba si zachovat vždy.
Zdroje: Autorský text, https://cybernews.com/security/android-ai-app-photo-video-editor-leak/, https://www.phonearena.com/news/dangerous-apps-found-in-play-store_id178411, https://petapixel.com/2026/02/25/ai-image-app-leaks-1-5-million-user-generated-photos/, https://cybernews.com/security/global-data-leak-exposes-billion-records/, https://www.pcworld.com/article/3072412/ai-and-id-verification-apps-leaked-data-on-millions-of-android-users.html, https://mobify.cz/clanky/varovani/google-play-aplikace-unik-dat/
