Helmholtzi infoturbekeskuse (CISPA), Ohio osariigi ülikooli ja New Yorgi ülikooli teadlased Androidi platvormi rakenduste peidetud funktsionaalsuse uurimine. 100 tuhande mobiilirakenduse analüüs Google Play kataloogist, 20 tuhande alternatiivsest kataloogist (Baidu) ja 30 tuhande erinevatesse nutitelefonidesse eelinstallitud rakenduse analüüs, mis on valitud SamMobile'i 1000 püsivara hulgast, et 12706 8.5 (XNUMX%) programmi sisaldavad funktsionaalsust, mis on kasutaja eest varjatud, kuid aktiveeritud spetsiaalsete järjestuste abil, mida võib liigitada tagauste hulka.
Täpsemalt sisaldas 7584 rakendust manustatud salajasi juurdepääsuvõtmeid, 501 manustatud peaparooli ja 6013 peidetud käske. Probleemseid rakendusi leidub kõigis uuritud tarkvaraallikates – protsentuaalselt tuvastati tagauksi Google Playst 6.86% (6860), alternatiivkataloogist 5.32% (1064) ja 15.96% (4788) uuritud programmidest. eelinstallitud rakenduste loendist. Tuvastatud tagauksed võimaldavad kõigil, kes teavad võtmeid, aktiveerimisparoole ja käsujadasid, pääseda juurde rakendusele ja kõigile sellega seotud andmetele.
Näiteks leiti, et 5 miljoni installiga spordi voogesituse rakendusel on sisseehitatud võti administraatoriliidesesse sisselogimiseks, mis võimaldab kasutajatel muuta rakenduse seadeid ja pääseda juurde lisafunktsioonidele. 5 miljoni installiga ekraaniluku rakenduses leiti juurdepääsuvõti, mis võimaldab lähtestada parooli, mille kasutaja seadme lukustamiseks määrab. 1 miljoni installiga tõlkimisprogramm sisaldab võtit, mis võimaldab teil teha rakendusesiseseid oste ja uuendada programmi pro-versioonile ilma tegelikult maksmata.
Kaotatud seadme kaugjuhtimise programmis, millel on 10 miljonit installi, on tuvastatud peaparool, mis võimaldab seadme kaotamise korral eemaldada kasutaja seatud luku. Sülearvutiprogrammist leiti põhiparool, mis võimaldab avada salajasi märkmeid. Paljudes rakendustes tuvastati ka silumisrežiimid, mis võimaldasid juurdepääsu madala tasemega võimalustele, näiteks osturakenduses käivitati teatud kombinatsiooni sisestamisel puhverserver ja koolitusprogrammis oli võimalus testidest mööda minna. .
Lisaks tagaustele leiti 4028 (2.7%) rakendusest kasutajalt saadud teabe tsenseerimiseks kasutatud mustad nimekirjad. Kasutatavad mustad nimekirjad sisaldavad keelatud sõnade komplekte, sealhulgas erakondade ja poliitikute nimesid ning tüüpilisi fraase, mida kasutatakse teatud elanikkonnarühmade hirmutamiseks ja diskrimineerimiseks. Mustad nimekirjad tuvastati 1.98% uuritud programmides Google Playst, 4.46% alternatiivkataloogist ja 3.87% eelinstallitud rakenduste loendist.
Analüüsi läbiviimiseks kasutati teadlaste loodud tööriistakomplekti InputScope, mille kood ilmub lähiajal. GitHubis (teadlased olid varem avaldanud staatilise analüsaatori , mis tuvastab automaatselt infolekked rakendustes).
Allikas: opennet.ru