Vísindamenn við Helmholtz Center for Information Security (CISPA), Ohio State University og New York University rannsóknir á falinni virkni í forritum fyrir Android vettvang. Greining á 100 þúsund farsímaforritum úr Google Play vörulistanum, 20 þúsund úr öðrum vörulista (Baidu) og 30 þúsund forritum sem eru foruppsett á ýmsum snjallsímum, valin úr 1000 fastbúnaði frá SamMobile, að 12706 (8.5%) forrit innihalda virkni sem er falin fyrir notanda, en virkjað með sérstökum röðum, sem flokkast má sem bakdyr.
Nánar tiltekið innihéldu 7584 forrit innbyggða leynilega aðgangslykla, 501 innihéldu innbyggð aðallykilorð og 6013 innihéldu faldar skipanir. Erfið forrit finnast í öllum hugbúnaðarheimildum sem skoðaðar voru - í prósentum talið voru bakdyrnar auðkenndar í 6.86% (6860) af rannsökuðu forritunum frá Google Play, í 5.32% (1064) úr varalistanum og í 15.96% (4788) af listanum yfir fyrirfram uppsett forrit. Hinar auðkenndu bakdyr gera öllum sem þekkja lyklana, virkjunarlykilorð og stjórnunarraðir að fá aðgang að forritinu og öllum gögnum sem tengjast því.
Til dæmis kom í ljós að íþróttastreymisapp með 5 milljón uppsetningum var með innbyggðan lykil til að skrá sig inn í stjórnendaviðmótið, sem gerir notendum kleift að breyta forritastillingum og fá aðgang að viðbótarvirkni. Í skjálásappi með 5 milljón uppsetningum fannst aðgangslykill sem gerir þér kleift að endurstilla lykilorðið sem notandinn setur til að læsa tækinu. Þýðendaforritið, sem hefur 1 milljón uppsetningar, inniheldur lykil sem gerir þér kleift að kaupa í forriti og uppfæra forritið í atvinnuútgáfuna án þess að borga í raun.
Í forritinu fyrir fjarstýringu á týndu tæki, sem hefur 10 milljón uppsetningar, hefur verið auðkennt aðallykilorð sem gerir það mögulegt að fjarlægja lásinn sem notandinn setur upp ef tækið tapast. Aðallykilorð fannst í minnisbókarforritinu sem gerir þér kleift að opna leynilegar athugasemdir. Í mörgum forritum voru villuleitarstillingar einnig auðkenndar sem veittu aðgang að lágstigsmöguleikum, til dæmis í innkaupaforriti var proxy-þjónn ræstur þegar ákveðin samsetning var slegin inn og í þjálfunarprógramminu var möguleiki á að komast framhjá prófum .
Auk bakdyra reyndust 4028 (2.7%) umsóknir hafa svartan lista notaða til að ritskoða upplýsingar sem berast frá notandanum. Svarti listarnir sem notaðir eru innihalda sett af bönnuðum orðum, þar á meðal nöfn stjórnmálaflokka og stjórnmálamanna, og dæmigerðar setningar sem notaðar eru til að hræða og mismuna ákveðnum hópum íbúanna. Svartir listar voru auðkenndir í 1.98% af rannsökuðu forritunum frá Google Play, í 4.46% úr öðrum vörulista og í 3.87% af listanum yfir fyrirfram uppsett forrit.
Til að framkvæma greininguna var InputScope verkfærakistan sem rannsakendur höfðu búið til og kóðinn fyrir hann verður gefinn út á næstunni. á GitHub (rannsakendur höfðu áður gefið út kyrrstöðugreiningartæki , sem skynjar sjálfkrafa upplýsingaleka í forritum).
Heimild: opennet.ru