Uma aplicação vazada é um pequeno programa de software - tipicamente uma aplicação móvel - que transmite dados do usuário através da Internet.
O problema é composto em um ambiente BYOD (traga o seu próprio dispositivo), onde os dispositivos dos funcionários acessam dados corporativos, e quando os funcionários usam o shadow IT no trabalho: dispositivos e software que não são suportados pelo departamento de TI da empresa. Muitos aplicativos móveis sincronizam automaticamente dados com outros dispositivos e serviços de armazenamento em nuvem, como o Apple iCloud, Dropbox, Google Drive e Microsoft OneDrive. A menos que essa função esteja desativada, esses aplicativos podem facilmente vazar dados corporativos para nuvens públicas sem o conhecimento de funcionários, administradores ou empregadores. De acordo com pesquisas do Gartner, a maioria das brechas na segurança móvel é resultado de configuração defeituosa do dispositivo e não de ataques direcionados.
Aplicações Leaky foram levadas à atenção do público em geral quando o denunciante Edward Snowden relatou sobre os métodos e atividades de vigilância em massa das agências governamentais. De acordo com documentos que Snowden tornou públicos, agências como a Agência Nacional de Segurança (NSA) estavam acessando grandes quantidades de dados liderados por aplicativos móveis, incluindo Angry Birds, Google Maps, Facebook, Flickr, LinkedIn e Twitter. Dependendo do que o usuário especificou em seu perfil, uma única imagem postada de um dispositivo móvel poderia vazar metadados de imagem, incluindo a nacionalidade do usuário, geolocalização atual, idade, sexo, código postal, estado civil, renda, etnia, orientação sexual, nível de educação e número de crianças. Embora neste caso a vigilância não vise usuários individuais, os grandes volumes de dados podem ser submetidos a grandes análises de dados para produzir informações úteis.