Исследователи из компании Fallible осуществили реверс-инжиниринг 16 тыс. Android-приложений из Google Play и обнаружили в 304 из них закрытые ключи. Эксперты не приводят названия программ, однако, по их словам, они работали с наиболее популярными приложениями.
В 2,5 тыс. проанализированных программ содержались либо ключи, либо неизменяемые строки для авторизации (api secret). Некоторые из них вполне безобидны и необходимы для нормального функционирования приложения (к таковым в частности относятся ключи API Google). Тем не менее, в 304 программах исследователи нашли строки для авторизации которых не должно было быть.
Данные api secret принадлежат различным сторонним сервисам. К примеру, эксперты обнаружили неизменяемые строки для авторизации в сервисах Uber, которые могут использоваться для рассылки уведомлений внутри приложений Uber. В ряде программ также содержались строки для авторизации в Amazon Web Services. Некоторые из них обладали полными правами на создание и удаление объектов класса.
Ниже представлен список популярных сервисов, чьи строки для авторизации были обнаружены в приложениях.