Ymchwilwyr yng Nghanolfan Diogelwch Gwybodaeth Helmholtz (CISPA), Prifysgol Talaith Ohio a Phrifysgol Efrog Newydd ymchwil i ymarferoldeb cudd mewn cymwysiadau ar gyfer platfform Android. Dadansoddiad o 100 mil o gymwysiadau symudol o gatalog Google Play, 20 mil o gatalog amgen (Baidu) a 30 mil o gymwysiadau wedi'u gosod ymlaen llaw ar wahanol ffonau smart, wedi'u dewis o 1000 o firmware gan SamMobile, bod 12706 (8.5%) o raglenni yn cynnwys ymarferoldeb wedi'i guddio rhag y defnyddiwr, ond wedi'i actifadu gan ddefnyddio dilyniannau arbennig, y gellir eu dosbarthu fel drysau cefn.
Yn benodol, roedd 7584 o geisiadau yn cynnwys allweddi mynediad cyfrinachol wedi'u mewnosod, roedd 501 yn cynnwys prif gyfrineiriau wedi'u mewnosod, ac roedd 6013 yn cynnwys gorchmynion cudd. Mae cymwysiadau problemus i'w cael ym mhob un o'r ffynonellau meddalwedd a archwiliwyd - o ran canrannau, nodwyd drysau cefn mewn 6.86% (6860) o'r rhaglenni a astudiwyd gan Google Play, mewn 5.32% (1064) o'r catalog amgen ac mewn 15.96% (4788) o'r rhestr o gymwysiadau sydd wedi'u gosod ymlaen llaw. Mae'r drysau cefn a nodwyd yn caniatΓ‘u i unrhyw un sy'n gwybod yr allweddi, cyfrineiriau actifadu a dilyniannau gorchymyn gael mynediad i'r rhaglen a'r holl ddata sy'n gysylltiedig ag ef.
Er enghraifft, canfuwyd bod gan ap ffrydio chwaraeon gyda 5 miliwn o osodiadau allwedd adeiledig i fewngofnodi i'r rhyngwyneb gweinyddol, gan ganiatΓ‘u i ddefnyddwyr newid gosodiadau ap a chael mynediad at ymarferoldeb ychwanegol. Mewn app clo sgrin gyda 5 miliwn o osodiadau, canfuwyd allwedd mynediad sy'n eich galluogi i ailosod y cyfrinair y mae'r defnyddiwr yn ei osod i gloi'r ddyfais. Mae'r rhaglen gyfieithydd, sydd Γ’ 1 miliwn o osodiadau, yn cynnwys allwedd sy'n eich galluogi i brynu mewn-app ac uwchraddio'r rhaglen i'r fersiwn pro heb dalu mewn gwirionedd.
Yn y rhaglen ar gyfer rheoli dyfais goll o bell, sydd Γ’ 10 miliwn o osodiadau, mae prif gyfrinair wedi'i nodi sy'n ei gwneud hi'n bosibl tynnu'r clo a osodwyd gan y defnyddiwr rhag ofn y bydd y ddyfais yn cael ei cholli. Canfuwyd prif gyfrinair yn y rhaglen llyfr nodiadau sy'n eich galluogi i ddatgloi nodiadau cyfrinachol. Mewn llawer o gymwysiadau, nodwyd dulliau dadfygio hefyd a oedd yn darparu mynediad i alluoedd lefel isel, er enghraifft, mewn cymhwysiad siopa, lansiwyd gweinydd dirprwyol pan roddwyd cyfuniad penodol i mewn, ac yn y rhaglen hyfforddi roedd y gallu i osgoi profion .
Yn ogystal Γ’ drysau cefn, canfuwyd bod gan 4028 (2.7%) o geisiadau restrau gwahardd a ddefnyddiwyd i sensro gwybodaeth a dderbyniwyd gan y defnyddiwr. Mae'r rhestrau gwahardd a ddefnyddir yn cynnwys setiau o eiriau gwaharddedig, gan gynnwys enwau pleidiau gwleidyddol a gwleidyddion, ac ymadroddion nodweddiadol a ddefnyddir i ddychryn a gwahaniaethu yn erbyn rhai segmentau o'r boblogaeth. Nodwyd rhestrau gwahardd mewn 1.98% o'r rhaglenni a astudiwyd gan Google Play, mewn 4.46% o'r catalog amgen ac mewn 3.87% o'r rhestr o gymwysiadau a osodwyd ymlaen llaw.
Er mwyn cynnal y dadansoddiad, defnyddiwyd y pecyn cymorth InputScope a grΓ«wyd gan yr ymchwilwyr, y bydd y cod ar ei gyfer yn cael ei ryddhau yn y dyfodol agos. ar GitHub (roedd ymchwilwyr wedi cyhoeddi dadansoddwr statig yn flaenorol , sy'n canfod gollyngiadau gwybodaeth yn awtomatig mewn cymwysiadau).
Ffynhonnell: opennet.ru