Даследчыкі Цэнтра Гельмгольца па інфармацыйнай бяспецы (CISPA), Універсітэта штата Агаё і Нью-Йоркскага універсітэта даследаванне прыхаванай функцыянальнасці ў прыкладаннях для платформы Android. Аналіз 100 тысяч мабільных прыкладанняў з каталога Google Play, 20 тысяч з альтэрнатыўнага каталога (Baidu) і 30 тысяч прадусталёўваных на розныя смартфоны прыкладанняў, выдзеленых з 1000 прашывак з SamMobile, , Што 12706 (8.5%) праграм утрымоўваюць утоеную ад карыстача, але якая актывуецца пры дапамозе адмысловых паслядоўнасцяў функцыянальнасць, якую можна аднесці да бэкдораў.
У прыватнасці 7584 прыкладанняў ўключалі ўбудаваныя сакрэтныя ключы доступу, 501 – убудаваныя майстар-паролі і 6013 – скрытыя каманды. Праблемныя прыкладанні сустракаюцца ва ўсіх разгледжаных крыніцах праграм - у працэнтных суадносінах бэкдоры былі выяўлены ў 6.86% (6860) вывучаных праграм з Google Play, у 5.32% (1064) з альтэрнатыўнага каталога і ў 15.96% (4788) са спісу прадусталёўваных прыкладанняў. Выяўленыя бэкдоры дазваляюць любому, хто ведае ключы, паролі актывацыі і паслядоўнасці для выкліку каманд, атрымаць доступ да дадатку і ўсім звязаным з ім дадзеным.
Напрыклад, у дадатку для струменевага вяшчання спартыўных матчаў, які мае 5 млн установак, знойдзены ўбудаваны ключ для ўваходу ў інтэрфейс адміністратара, які дае змяніць налады прыкладання і атрымаць доступ да дадатковай функцыянальнасці. У прыкладанняў для блакавання экрана, які налічвае 5 млн установак, знойдзены ключ доступу, які дазваляе скінуць пароль, які выстаўляецца карыстачом для блакавання прылады. У праграме-перакладчыку, якая налічвае 1 млн установак, прысутнічае ключ, які дазваляе здзяйсняць усярэдзіне прыкладання пакупкі і абнавіць праграму да pro-версіі без фактычнай аплаты.
У праграме выдаленага кіравання страчанай прыладай, якая налічвае 10 млн усталёвак, выяўлены майстар-пароль, які дае магчымасць зняць блакаванне, усталяваную карыстачом на выпадак страты апарата. У праграме для вядзення запісной кніжкі знойдзены майстар-пароль, які дазваляе разблакаваць сакрэтныя нататкі. У шматлікіх прыкладаннях таксама выяўлены адладкавыя рэжымы, якія адкрываюць доступ да нізкаўзроўневых магчымасцяў, напрыклад, у дадатку для здзяйснення пакупак пры ўводзе пэўнай камбінацыі запускаўся проксі-сервер, а ў навучальнай праграме была магчымасць абыходу праходжання тэстаў.
Акрамя бэкдораў, у 4028 (2.7%) дадатках выяўлена наяўнасць чорных спісаў, якія прымяняюцца для цэнзуравання інфармацыі, якая паступае ад карыстальніка. Ужывальныя чорныя спісы змяшчаюць наборы забароненых для згадвання слоў, у тым ліку імёны палітычных партый і палітыкаў, тыпавыя фразы, якія ўжываюцца для запалохвання і дыскрымінацыі пэўных слаёў насельніцтва. Чорныя спісы выяўлены ў 1.98% вывучаных праграм з Google Play, у 4.46% з альтэрнатыўнага каталога і ў 3.87% са спісу прадусталёўваных прыкладанняў.
Для правядзення аналізу выкарыстаны створаны даследнікамі інструментар InputScope, код якога хуткім часам будзе на GitHub (раней даследнікі ўжо апублікавалі статычны аналізатар , які аўтаматычна выяўляе уцечкі інфармацыі ў дадатках).
Крыніца: opennet.ru