Istraživači u Helmholtz centru za informacijsku sigurnost (CISPA), Državnom sveučilištu Ohio i Sveučilištu New York
Konkretno, 7584 aplikacija uključivalo je ugrađene tajne pristupne ključeve, 501 uključivalo je ugrađene glavne lozinke, a 6013 uključivalo skrivene naredbe. Problematične aplikacije nalaze se u svim ispitanim izvorima softvera - u postotcima, backdoor je identificiran u 6.86% (6860) proučavanih programa s Google Playa, u 5.32% (1064) iz alternativnog kataloga i u 15.96% (4788) s popisa unaprijed instaliranih aplikacija. Identificirana stražnja vrata omogućuju svakome tko zna ključeve, aktivacijske lozinke i nizove naredbi da dobiju pristup aplikaciji i svim podacima povezanim s njom.
Na primjer, otkriveno je da aplikacija za sportski streaming s 5 milijuna instalacija ima ugrađeni ključ za prijavu u administratorsko sučelje, što korisnicima omogućuje promjenu postavki aplikacije i pristup dodatnim funkcijama. U aplikaciji za zaključavanje zaslona s 5 milijuna instalacija pronađen je pristupni ključ koji omogućuje resetiranje lozinke koju korisnik postavlja za zaključavanje uređaja. Program prevoditelja, koji ima milijun instalacija, uključuje ključ koji vam omogućuje kupnju unutar aplikacije i nadogradnju programa na pro verziju bez stvarnog plaćanja.
U programu za daljinsko upravljanje izgubljenim uređajem, koji ima 10 milijuna instalacija, identificirana je glavna lozinka koja omogućuje uklanjanje brave koju je postavio korisnik u slučaju gubitka uređaja. U programu za prijenosno računalo pronađena je glavna lozinka koja vam omogućuje otključavanje tajnih bilješki. U mnogim aplikacijama identificirani su i načini otklanjanja pogrešaka koji su omogućili pristup mogućnostima niske razine, na primjer, u aplikaciji za kupnju, proxy poslužitelj je pokrenut kada se unese određena kombinacija, au programu obuke postojala je mogućnost zaobilaženja testova .
Osim backdoora, otkriveno je da 4028 (2.7%) aplikacija ima crne liste koje se koriste za cenzuriranje informacija primljenih od korisnika. Crne liste koje se koriste sadrže skupove zabranjenih riječi, uključujući nazive političkih stranaka i političara, te tipične fraze koje se koriste za zastrašivanje i diskriminaciju određenih segmenata stanovništva. Crne liste identificirane su u 1.98% proučavanih programa s Google Playa, u 4.46% iz alternativnog kataloga i u 3.87% s popisa unaprijed instaliranih aplikacija.
Za provedbu analize korišten je alat InputScope koji su izradili istraživači, a kod za koji će biti objavljen u bliskoj budućnosti.
Izvor: opennet.ru