Undersikers by it Helmholtz Center for Information Security (CISPA), The Ohio State University en New York University ûndersyk nei ferburgen funksjonaliteit yn applikaasjes foar it Android-platfoarm. Analyse fan 100 tûzen mobile applikaasjes út 'e Google Play-katalogus, 20 tûzen út in alternative katalogus (Baidu) en 30 tûzen applikaasjes foarôf ynstalleare op ferskate smartphones, selekteare út 1000 firmware fan SamMobile, dat 12706 (8.5%) programma befetsje funksjonaliteit ferburgen foar de brûker, mar aktivearre mei help fan spesjale sekwinsjes, dat kin wurde klassifisearre as backdoors.
Spesifyk omfette 7584 applikaasjes ynbêde geheime tagongskaaien, 501 opnommen ynbêde masterwachtwurden, en 6013 opnommen ferburgen kommando's. Problematyske applikaasjes wurde fûn yn alle ûndersochte softwareboarnen - yn persintaazje termen waarden efterdoarren identifisearre yn 6.86% (6860) fan 'e studearre programma's fan Google Play, yn 5.32% (1064) fan 'e alternative katalogus en yn 15.96% (4788) út de list mei foarôf ynstallearre applikaasjes. De identifisearre efterdoarren kinne elkenien dy't de kaaien, aktivearringswachtwurden en kommando-sekwinsjes ken, tagong krije ta de applikaasje en alle gegevens dy't dêrmei ferbûn binne.
Bygelyks, in sportstreaming-app mei 5 miljoen ynstallaasjes waard fûn om in ynboude kaai te hawwen om oan te melden by de admin-ynterface, wêrtroch brûkers app-ynstellings kinne feroarje en tagong krije ta ekstra funksjonaliteit. Yn in skermbeskoattelapplikaasje mei 5 miljoen ynstallaasjes waard in tagongskaai fûn wêrmei jo it wachtwurd weromsette kinne dat de brûker ynsteld om it apparaat te beskoatteljen. It oersetterprogramma, dat 1 miljoen ynstallaasjes hat, omfettet in kaai wêrmei jo oankeapen yn-app kinne meitsje en it programma opwurdearje nei de pro-ferzje sûnder echt te beteljen.
Yn it programma foar ôfstânkontrôle fan in ferlern apparaat, dat 10 miljoen ynstallaasjes hat, is in masterwachtwurd identifisearre dat it mooglik makket om it slot ynsteld troch de brûker te ferwiderjen yn gefal fan ferlies fan it apparaat. In masterwachtwurd is fûn yn it notebookprogramma wêrmei jo geheime notysjes kinne ûntsluten. Yn in protte applikaasjes waarden debuggen ek identifisearre dy't tagong levere ta mooglikheden op leech nivo, bygelyks yn in winkelapplikaasje waard in proxytsjinner lansearre as in bepaalde kombinaasje waard ynfierd, en yn it trainingsprogramma wie d'r de mooglikheid om tests te omgean. .
Neist efterdoarren, waarden 4028 (2.7%) applikaasjes fûn om swartelisten te hawwen dy't brûkt wurde om ynformaasje ûntfongen fan 'e brûker te sensurearjen. De brûkte swartelisten befetsje sets fan ferbeane wurden, ynklusyf de nammen fan politike partijen en politisy, en typyske útdrukkingen dy't brûkt wurde om bepaalde segminten fan 'e befolking te yntimidearjen en te diskriminearjen. Swartelisten waarden identifisearre yn 1.98% fan 'e studearre programma's fan Google Play, yn 4.46% fan' e alternative katalogus en yn 3.87% fan 'e list mei foarôf ynstalleare applikaasjes.
Om de analyze út te fieren, waard de InputScope-toolkit makke troch de ûndersikers brûkt, wêrfan de koade yn 'e heine takomst sil wurde frijlitten. op GitHub (ûndersikers hiene earder in statyske analysator publisearre , dy't automatysk ynformaasjelekken yn applikaasjes detektearret).
Boarne: opennet.ru