Masu bincike a Cibiyar Tsaro ta Helmholtz (CISPA), Jami'ar Jihar Ohio da Jami'ar New York bincike na boye ayyuka a aikace-aikace na Android dandamali. Binciken aikace-aikacen hannu dubu 100 daga kundin Google Play, dubu 20 daga madadin kasida (Baidu) da aikace-aikacen dubu 30 waɗanda aka riga aka shigar akan wayoyi daban-daban, waɗanda aka zaɓa daga firmware 1000 daga SamMobile. cewa 12706 (8.5%) shirye-shirye sun ƙunshi ayyuka da aka ɓoye daga mai amfani, amma kunna ta amfani da jeri na musamman, waɗanda za a iya rarraba su azaman bayan gida.
Musamman, aikace-aikacen 7584 sun haɗa da maɓallan shiga sirri, 501 sun haɗa da manyan kalmomin shiga, kuma 6013 sun haɗa da ɓoye umarni. Ana samun aikace-aikace masu matsala a duk tushen software da aka bincika - a cikin kashi dari, an gano bayan gida a cikin 6.86% (6860) na shirye-shiryen da aka yi nazari daga Google Play, a cikin 5.32% (1064) daga madadin kasida kuma a cikin 15.96% (4788) daga jerin aikace-aikacen da aka riga aka shigar. Ƙofofin baya da aka gano suna ba duk wanda ya san maɓallai, kalmar sirri kunnawa da jerin umarni don samun damar shiga aikace-aikacen da duk bayanan da ke tattare da shi.
Misali, manhajar yawo ta wasanni tare da shigarwa miliyan 5 an gano tana da ginanniyar maɓalli don shiga cikin mahallin gudanarwa, kyale masu amfani su canza saitunan app da samun damar ƙarin ayyuka. A cikin manhaja na kulle allo tare da shigarwa miliyan 5, an sami maɓallin shiga da ke ba ka damar sake saita kalmar sirrin da mai amfani ya saita don kulle na'urar. Shirin fassarar, wanda ke da shigarwa miliyan 1, ya haɗa da maɓallin da ke ba ku damar yin siyan in-app da haɓaka shirin zuwa nau'in pro ba tare da biyan kuɗi ba.
A cikin shirin na’urar sarrafa na’urar da aka bata, mai dauke da na’ura miliyan 10, an gano babbar “Password” da ke ba da damar cire makullin da mai amfani da na’urar ya sanya idan aka rasa na’urar. An sami babban kalmar sirri a cikin shirin littafin rubutu wanda ke ba ku damar buɗe bayanan sirri. A cikin aikace-aikace da yawa, an kuma gano hanyoyin lalatawa waɗanda ke ba da damar yin amfani da ƙananan matakan, misali, a cikin aikace-aikacen sayayya, an ƙaddamar da uwar garken wakili lokacin da aka shigar da wani haɗin gwiwa, kuma a cikin shirin horarwa akwai ikon ketare gwaje-gwaje. .
Baya ga bayan gida, aikace-aikace 4028 (2.7%) an gano suna da jerin baƙar fata da aka yi amfani da su don tantance bayanan da aka karɓa daga mai amfani. Lissafin baƙar fata da aka yi amfani da su sun ƙunshi jerin kalmomin da aka haramta, da suka haɗa da sunayen jam'iyyun siyasa da 'yan siyasa, da kuma wasu kalmomin da ake amfani da su don tsoratarwa da nuna wariya ga wasu sassa na jama'a. An gano baƙar fata a cikin 1.98% na shirye-shiryen da aka yi nazari daga Google Play, a cikin 4.46% daga madadin kasida kuma a cikin 3.87% daga jerin aikace-aikacen da aka riga aka shigar.
Don aiwatar da bincike, an yi amfani da kayan aikin InputScope da masu binciken suka kirkira, lambar da za a fito da ita nan gaba kadan. akan GitHub (masu bincike a baya sun buga mai nazari a tsaye , wanda ta atomatik gano leken asiri a cikin aikace-aikace).
source: budenet.ru