Výzkumníci z Helmholtzova centra pro informační bezpečnost (CISPA), The Ohio State University a New York University
Konkrétně 7584 501 aplikací obsahovalo vestavěné tajné přístupové klíče, 6013 obsahovalo vložená hlavní hesla a 6.86 6860 obsahovalo skryté příkazy. Problematické aplikace se nacházejí ve všech zkoumaných softwarových zdrojích – v procentuálním vyjádření byly zadní vrátka identifikovány u 5.32 % (1064) studovaných programů z Google Play, u 15.96 % (4788) z alternativního katalogu a u XNUMX % (XNUMX) ze seznamu předinstalovaných aplikací. Identifikovaná zadní vrátka umožňují každému, kdo zná klíče, aktivační hesla a sekvence příkazů, získat přístup k aplikaci a všem datům s ní spojeným.
Například bylo zjištěno, že aplikace pro sportovní streamování s 5 miliony instalací má vestavěný klíč pro přihlášení do administrátorského rozhraní, což uživatelům umožňuje měnit nastavení aplikace a přistupovat k dalším funkcím. V aplikaci pro uzamčení obrazovky s 5 miliony instalací byl nalezen přístupový klíč, který umožňuje resetovat heslo, které si uživatel nastaví pro uzamčení zařízení. Překladatelský program, který má 1 milion instalací, obsahuje klíč, který vám umožní provádět nákupy v aplikaci a upgradovat program na profesionální verzi, aniž byste skutečně platili.
V programu pro dálkové ovládání ztraceného zařízení, který má 10 milionů instalací, bylo identifikováno hlavní heslo, které umožňuje odstranit zámek nastavený uživatelem v případě ztráty zařízení. V programu pro zápisník bylo nalezeno hlavní heslo, které umožňuje odemykat tajné poznámky. V mnoha aplikacích byly také identifikovány režimy ladění, které poskytovaly přístup k nízkoúrovňovým funkcím, například v nákupní aplikaci se při zadání určité kombinace spustil proxy server a v tréninkovém programu byla možnost obejít testy. .
Kromě zadních vrátek bylo zjištěno, že 4028 2.7 (1.98 %) aplikací má černé listiny používané k cenzuře informací přijatých od uživatele. Používané černé listiny obsahují sady zakázaných slov, včetně názvů politických stran a politiků, a typických frází používaných k zastrašování a diskriminaci určitých skupin populace. Blacklisty byly identifikovány u 4.46 % studovaných programů z Google Play, u 3.87 % z alternativního katalogu a u XNUMX % ze seznamu předinstalovaných aplikací.
K provedení analýzy byla použita sada nástrojů InputScope vytvořená výzkumníky, jejíž kód bude uvolněn v blízké budoucnosti.
Zdroj: opennet.ru