Esploristoj ĉe la Helmholtz Center for Information Security (CISPA), The Ohio State University kaj New York University esplorado de kaŝita funkcieco en aplikoj por la Android-platformo. Analizo de 100 mil poŝtelefonaj aplikoj el la katalogo de Google Play, 20 mil el alternativa katalogo (Baidu) kaj 30 mil aplikoj antaŭinstalitaj sur diversaj saĝtelefonoj, elektitaj el 1000 firmvaro de SamMobile, ke 12706 (8.5%) programoj enhavas funkciecon kaŝitan de la uzanto, sed aktivigitaj uzante specialajn sekvencojn, kiuj povas esti klasifikitaj kiel malantaŭaj pordoj.
Specife, 7584 aplikoj inkludis enigitajn sekretajn alirŝlosilojn, 501 inkludis enigitajn majstrajn pasvortojn, kaj 6013 inkludis kaŝitajn komandojn. Problemaj aplikoj troviĝas en ĉiuj ekzamenitaj programfontoj - laŭ procentaj terminoj, malantaŭaj pordoj estis identigitaj en 6.86% (6860) de la studitaj programoj de Google Play, en 5.32% (1064) de la alternativa katalogo kaj en 15.96% (4788) el la listo de antaŭinstalitaj aplikoj. La identigitaj malantaŭaj pordoj permesas al iu ajn kiu konas la ŝlosilojn, aktivigajn pasvortojn kaj komandsekvencojn akiri aliron al la aplikaĵo kaj ĉiuj datumoj asociitaj kun ĝi.
Ekzemple, sporta fluanta programo kun 5 milionoj da instaloj estis trovita havi enkonstruitan ŝlosilon por ensaluti en la administran interfacon, permesante al uzantoj ŝanĝi agordojn kaj aliri aldonan funkciecon. En ekranŝlosa aplikaĵo kun 5 milionoj da instalaĵoj, alirŝlosilo estis trovita, kiu ebligas al vi restarigi la pasvorton, kiun la uzanto starigas por ŝlosi la aparaton. La tradukilo-programo, kiu havas 1 milionon da instalaĵoj, inkluzivas ŝlosilon, kiu ebligas al vi fari en-apajn aĉetojn kaj ĝisdatigi la programon al la profesia versio sen efektive pagi.
En la programo por fora kontrolo de perdita aparato, kiu havas 10 milionojn da instalaĵoj, estas identigita majstra pasvorto, kiu ebligas forigi la seruron fiksitan de la uzanto en kazo de perdo de la aparato. Majstra pasvorto estis trovita en la kajera programo, kiu permesas vin malŝlosi sekretajn notojn. En multaj aplikoj, sencimigaj reĝimoj ankaŭ estis identigitaj, kiuj disponigis aliron al malaltnivelaj kapabloj, ekzemple, en butikumada aplikaĵo, prokura servilo estis lanĉita kiam certa kombinaĵo estis enigita, kaj en la trejnadprogramo ekzistis la kapablo preteriri testojn. .
Aldone al malantaŭaj pordoj, 4028 (2.7%) aplikoj estis trovitaj havi nigrajn listojn uzitaj por cenzuri informojn ricevitajn de la uzanto. La nigraj listoj uzitaj enhavas arojn de malpermesitaj vortoj, inkluzive de la nomoj de partioj kaj politikistoj, kaj tipaj frazoj uzataj por timigi kaj diskriminacii certajn segmentojn de la loĝantaro. Nigraj listoj estis identigitaj en 1.98% de la studitaj programoj el Google Play, en 4.46% el la alternativa katalogo kaj en 3.87% el la listo de antaŭinstalitaj aplikaĵoj.
Por efektivigi la analizon, estis uzata la ilaro InputScope kreita de la esploristoj, kies kodo estos publikigita en la proksima estonteco. en GitHub (esploristoj antaŭe publikigis senmovan analizilon , kiu aŭtomate detektas informfuĝojn en aplikoj).
fonto: opennet.ru