Egy kutatás előzetes eredményei szerint az ötven legnépszerűbb androidos alkalmazás legalább fele súlyos biztonsági réseket tartalmaz. A felmérést a 2001-ben alapított, finn székhelyű Codenomicon szakemberei ígéretük szerint ezen a héten fogják publikálni (a teszteszközöket fejlesztő vállalkozás korábban sem volt ismeretlen a biztonsági szakmában, de igazán híressé az tette őket, hogy az év elején ők fedezték fel az OpenSSL általuk Heartbleednek elnevezett sebezhetőségét).

A kutatók feltárták, hogy az említett szoftverek fele engedély és a felhasználó tudta nélkül küld harmadik feleknek – leginkább hirdetési hálózatoknak – felhasználói adatokat (Android ID, IMEI, földrajzi helyzet, sőt egy esetben a telefonszámot is), gyakran mindenféle titkosítás nélkül, 30 százalékuk egyszerű szöveges formában.

Olli Jarva, a Codenomicon egy nyilatkozatában azt mondta, hogy sok fejlesztő igen óvatlanul jár el. A mobilos alkalmazások 80-90 százalékában legtöbbször nyílt forrású szoftverkönyvtárakat használnak fel újra (re-used libraries). Ez önmagában nem lenne probléma, hiszen széles körben elterjedt a költség- és időkímélő kód-újrafelhasználás, mert így nem kell újra és újra megírni alapvető kódokat. Ám bár elméletben a nyílt forrás igen nagy hatékonysággal biztosítja a gyors javítások implementációját, természetesen ez sem tökéletes – ahogy az OpenSSL súlyos hibája is bizonyította. Így ha egy népszerű, sokak által felhasznált kódban benne marad egy rés vagy bármilyen hiba, az megjelenik a segítségével fejlesztett alkalmazásokban is. Még nagyobb aggodalomra ad okot, mondja Jarva, hogy akadnak fejlesztők, akik szándékosan választanak sebezhetőségeket tartalmazó elemeket alkalmazásaikhoz.

A szakember elmondta, hogy a jó szándékú fejlesztőknél természetesen az előzetes tesztelés lenne a megoldás, ám ez gyakran elmarad, mivel időveszteséggel és plusz költséggel jár, így a sebezhetőségeket általában csak akkor javítják, ha esetleg komolyabb, nyilvános botrány lesz belőle.