Google Play Store je stále líheň podvodných aplikací

Google dlouhodobě prosazuje narativ, že instalace aplikací mimo oficiální obchod Google Play představuje pro uživatele Androidu zásadní bezpečnostní riziko. Jenže nejnovější případy ukazují, že hrozba nepřichází zvenčí – číhá přímo uvnitř oficiálního ekosystému.

Argument, že Google Play je jediným skutečně bezpečným zdrojem aplikací pro Android, dostává vážné trhliny, a vlastně vždycky měl dost zásadní nedostatky. Přestože jde o platformu spravovanou jedním z největších technologických gigantů světa, najdeme v ní překvapivé množství podvodných aplikací, které se maskují za populární tituly. Využívají přitom jejich loga, vizuální identitu i název – a spoléhají na to, že méně pozorný uživatel rozdíl nepostřehne.

Jedním z nedávných příkladů je hra Tomodachi Life od Nintenda, vydaná pro konzoli Switch. Titul se stal obrovským komerčním hitem a virálním fenoménem na sociálních sítích. Záhy se v Google Play objevily desítky klonů kopírujících grafiku originálu – aplikací s výrazně nižší kvalitou a potenciálně škodlivým chováním pro zařízení, na která byly staženy. Celkový počet stažení těchto podvodných kopií překročil 50 000.

Předprodej hry, která na Androidu neexistuje

Nejzávažnější případ se týká vysoce očekávané hry GTA 6 od studia Rockstar Games. Podvodná aplikace, jejíž autor se na platformě identifikoval jako Shakila developer, nabízela uživatelům předčasný přístup k titulu ještě před jeho oficiálním vydáním. Aby působila věrohodněji, využívala snímky a záběry přímo z oficiálních trailerů hry. Uvnitř aplikace byly implementovány mikrotransakce v rozmezí 29,99 až 59,99 eur.

Google aplikaci nakonec odstranil – ale teprve poté, co stihla nasbírat přes 150 000 stažení. To samo o sobě vypovídá o efektivitě validačních procesů, které by měly podobným hrozbám bránit v publikaci ještě před tím, než se k uživatelům vůbec dostanou.

Android patří v tuzemsku k dominantním mobilním platformám a firemní zařízení – ať už spravovaná přes MDM řešení, nebo v rámci BYOD politik – jsou potenciálně zranitelná stejným způsobem jako zařízení koncových spotřebitelů. Zaměstnanci, kteří si do pracovního telefonu stáhnou podvodnou aplikaci z „důvěryhodného“ zdroje, mohou nechtěně otevřít cestu ke kompromitaci firemních dat.

Incidenty tohoto typu zároveň zpochybňují samotný základ argumentace, na níž Google staví svůj přístup k bezpečnosti Androidu – tedy tezi, že uzavřený ekosystém s centralizovanou správou aplikací automaticky zaručuje bezpečnost. Čísla 150 000 stažení podvodného GTA 6 nebo 50 000 stažení falešného Tomodachi Life naznačují, že moderační a validační mechanismy Google Play zdaleka nestačí.