FallibleがAndroidアプリのセキュリティを調べる目的で開発したリバースエンジニアリングツールを使用して16,000個のアプリを分析したところ、2,500個のアプリでAPIキーやトークンがハードコードされていたことが明らかになった。
同社によると、2016年11月に同社は開発したリバースエンジニアリングツールをWebベースツールとして公開し、誰でも利用できるようにした。そのツールを使用してユーザが調べた約16,000個のアプリを調べたところ、約2,500個のアプリのキーがハードコードされていることが発見された。 Googleなど多くのアプリのAPIキーは無害であるが、そのうち304個は絶対にハードコードすべきではないアプリであった。Amazon Web Servicesのアクセスキーがハードコードされたプリにはインスタンス作成や削除のフル権限を持つものもあった。同社は、アプリ開発者に対し、APIキーやトークンをハードコードする際には本当にハードコードの必要があるかどうかをきちんと考えるよう呼び掛けている。
