Et team af cybersikkerhedsforskere har fundet ud af, at nogle apps har skjult "bagdør" -hemmeligheder, der kan gøre dem sårbare over for hacking. Kredit:Rami Al-zayat på Unsplash
Et team af cybersikkerhedsforskere har opdaget, at et stort antal mobiltelefonapplikationer indeholder hårdkodede hemmeligheder, der gør det muligt for andre at få adgang til private data eller blokere indhold fra brugere.
Undersøgelsens resultater:at apps på mobiltelefoner kan have skjult eller skadelig adfærd, som slutbrugerne ved lidt om ingenting om, sagde Zhiqiang Lin, en lektor i datalogi og teknik ved Ohio State University og seniorforfatter af undersøgelsen.
Undersøgelsen er blevet accepteret til offentliggørelse i 2020 IEEE Symposium on Security and Privacy i maj. Konferencen er flyttet online på grund af det globale coronavirus (COVID-19) udbrud.
Typisk, mobilapps interagerer med brugerne ved at behandle og reagere på brugerinput, Sagde Lin. For eksempel, brugere skal ofte skrive bestemte ord eller sætninger, eller klik på knapper og diasskærme. Disse input får en app til at udføre forskellige handlinger.
Til denne undersøgelse, forskergruppen vurderede 150, 000 apps. De valgte top 100, 000 baseret på antallet af downloads fra Google Play -butikken, top 20, 000 fra et alternativt marked, og 30, 000 fra forudinstallerede apps på Android-smartphones.
De fandt ud af, at 12, 706 af disse apps, omkring 8,5 procent, indeholdt noget, forskergruppen betegnede som "bagdørs hemmeligheder" - skjult adfærd i appen, der accepterer visse typer indhold for at udløse adfærd, der er ukendt for almindelige brugere. De fandt også ud af, at nogle apps har indbyggede "masteradgangskoder, "som tillader alle med denne adgangskode at få adgang til appen og alle private data indeholdt i den. Og nogle apps, de fandt, havde hemmelige adgangsnøgler, der kunne udløse skjulte muligheder, herunder omgåelse af betaling.
"Både brugere og udviklere er alle i farezonen, hvis en dårlig fyr har opnået disse bagdørs hemmeligheder, Sagde Lin. Faktisk han sagde, motiverede angribere kunne reverse engineer mobilapps for at opdage dem.
Qingchuan Zhao, en uddannet forskningsassistent ved Ohio State og hovedforfatter af denne undersøgelse, sagde, at udviklere ofte forkert antager, at reverse engineering af deres apps ikke er en legitim trussel.
"En vigtig årsag til, at mobilapps indeholder disse 'bagdørshemmeligheder', er fordi udviklere forlagt tilliden, "Sagde Zhao. For virkelig at sikre deres apps, han sagde, udviklere skal udføre sikkerhedsrelevante brugerinputvalideringer og skubbe deres hemmeligheder på backend-serverne.
Holdet fandt også yderligere 4, 028 apps - cirka 2,7 procent - der blokerede indhold, der indeholder specifikke søgeord, der er genstand for censur, cybermobning eller diskrimination. At apps kunne begrænse visse typer indhold var ikke overraskende - men måden, de gjorde det på:Valideret lokalt i stedet for eksternt, Sagde Lin.
"På mange platforme, brugergenereret indhold kan blive modereret eller filtreret, før det offentliggøres, " han sagde, bemærker, at flere sociale medier, herunder Facebook, Instagram og Tumblr, allerede begrænser det indhold, som brugerne har lov til at offentliggøre på disse platforme.
"Desværre, der kan være problemer - f.eks. brugere ved, at visse ord er forbudt fra en platforms politik, men de er uvidende om eksempler på ord, der betragtes som forbudte ord og kan resultere i, at indhold blokeres uden brugernes viden, "sagde han." Derfor, slutbrugere ønsker måske at præcisere vage platformindholdspolitikker ved at se eksempler på forbudte ord. "
Ud over, han sagde, forskere, der studerer censur, ønsker måske at forstå, hvilke termer der betragtes som følsomme.Teamet udviklede et open source -værktøj, kaldet InputScope, for at hjælpe udviklere med at forstå svagheder i deres apps og for at demonstrere, at reverse engineering -processen kan være fuldt automatiseret.