Mga tigdukiduki sa Helmholtz Center for Information Security (CISPA), The Ohio State University ug New York University panukiduki sa tinago nga pagpaandar sa mga aplikasyon alang sa platform sa Android. Pag-analisar sa 100 ka libo nga mga mobile application gikan sa Google Play catalog, 20 ka libo gikan sa alternatibong katalogo (Baidu) ug 30 ka libo nga mga aplikasyon nga na-pre-install sa nagkalain-laing mga smartphone, gipili gikan sa 1000 firmware gikan sa SamMobile, nga ang 12706 (8.5%) nga mga programa naglangkob sa functionality nga gitago gikan sa user, apan gi-activate gamit ang mga espesyal nga han-ay, nga mahimong maklasipikar isip backdoors.
Sa partikular, ang 7584 nga mga aplikasyon naglakip sa naka-embed nga sekreto nga mga yawe sa pag-access, 501 naglakip sa mga naka-embed nga master password, ug 6013 naglakip sa mga tinago nga mga sugo. Ang mga problema nga aplikasyon makita sa tanan nga mga tinubdan sa software nga gisusi - sa porsyento nga termino, ang mga backdoor giila sa 6.86% (6860) sa gitun-an nga mga programa gikan sa Google Play, sa 5.32% (1064) gikan sa alternatibong katalogo ug sa 15.96% (4788) gikan sa lista sa pre-installed nga mga aplikasyon. Gitugotan sa giila nga mga backdoor ang bisan kinsa nga nahibal-an ang mga yawe, mga password sa pagpaaktibo ug mga han-ay sa mando nga maka-access sa aplikasyon ug tanan nga datos nga may kalabotan niini.
Pananglitan, ang usa ka sports streaming app nga adunay 5 milyon nga mga pag-install nakit-an nga adunay usa ka built-in nga yawe aron maka-log in sa admin interface, nga gitugotan ang mga tiggamit sa pagbag-o sa mga setting sa app ug pag-access sa dugang nga gamit. Sa usa ka screen lock app nga adunay 5 ka milyon nga mga instalasyon, usa ka access key ang nakit-an nga nagtugot kanimo sa pag-reset sa password nga gitakda sa user aron ma-lock ang device. Ang programa sa tighubad, nga adunay 1 ka milyon nga mga instalasyon, naglakip sa usa ka yawe nga nagtugot kanimo sa paghimo sa in-app nga mga pagpalit ug pag-upgrade sa programa ngadto sa pro nga bersyon nga walay aktwal nga pagbayad.
Sa programa alang sa hilit nga pagkontrol sa usa ka nawala nga aparato, nga adunay 10 milyon nga mga pag-install, nahibal-an ang usa ka master nga password nga nagpaposible nga makuha ang lock nga gitakda sa tiggamit kung mawala ang aparato. Ang usa ka master nga password nakit-an sa programa sa notebook nga nagtugot kanimo sa pag-abli sa mga sekreto nga mga nota. Sa daghang mga aplikasyon, nahibal-an usab ang mga mode sa pag-debug nga naghatag pag-access sa mga kapabilidad sa ubos nga lebel, pananglitan, sa usa ka aplikasyon sa pagpamalit, gilunsad ang usa ka proxy server kung gisulod ang usa ka piho nga kombinasyon, ug sa programa sa pagbansay adunay abilidad sa pag-bypass sa mga pagsulay. .
Dugang sa backdoors, 4028 (2.7%) nga mga aplikasyon ang nakit-an nga adunay mga blacklist nga gigamit sa pag-censor sa impormasyon nga nadawat gikan sa user. Ang mga blacklist nga gigamit adunay mga hugpong sa gidili nga mga pulong, lakip ang mga ngalan sa mga partidong politikal ug mga politiko, ug mga tipikal nga hugpong sa mga pulong nga gigamit sa paghadlok ug pagpihig batok sa pipila ka mga bahin sa populasyon. Ang mga blacklist giila sa 1.98% sa gitun-an nga mga programa gikan sa Google Play, sa 4.46% gikan sa alternatibong katalogo ug sa 3.87% gikan sa listahan sa pre-installed nga mga aplikasyon.
Aron mahimo ang pag-analisar, gigamit ang toolkit nga InputScope nga gihimo sa mga tigdukiduki, ang code nga ipagawas sa umaabot nga umaabot. sa GitHub (ang mga tigdukiduki kaniadto nagpatik sa usa ka static analyzer , nga awtomatikong makamatikod sa mga pagtulo sa impormasyon sa mga aplikasyon).
Source: opennet.ru