Raziskovalci Helmholtzovega centra za informacijsko varnost (CISPA), Državne univerze Ohio in Univerze New York raziskovanje skritih funkcionalnosti v aplikacijah za platformo Android. Analiza 100 mobilnih aplikacij iz kataloga Google Play, 20 iz alternativnega kataloga (Baidu) in 30 aplikacij, vnaprej nameščenih na različnih pametnih telefonih, izbranih izmed 1000 vdelane programske opreme SamMobile, da 12706 (8.5 %) programov vsebuje uporabniku skrite funkcionalnosti, ki pa se aktivirajo s pomočjo posebnih sekvenc, ki jih lahko uvrstimo med stranska vrata.
Natančneje, 7584 aplikacij je vključevalo vdelane skrivne ključe za dostop, 501 vdelana glavna gesla in 6013 skrite ukaze. Problematične aplikacije najdemo v vseh pregledanih programskih virih - v odstotkih so bila stranska vrata prepoznana v 6.86 % (6860) proučevanih programov iz Google Play, v 5.32 % (1064) iz alternativnega kataloga in v 15.96 % (4788) s seznama vnaprej nameščenih aplikacij. Identificirana zadnja vrata omogočajo vsakomur, ki pozna ključe, aktivacijska gesla in zaporedja ukazov, dostop do aplikacije in vseh podatkov, povezanih z njo.
Ugotovljeno je bilo na primer, da ima aplikacija za pretakanje športa s 5 milijoni namestitev vgrajen ključ za prijavo v skrbniški vmesnik, ki uporabnikom omogoča spreminjanje nastavitev aplikacije in dostop do dodatnih funkcij. V aplikaciji za zaklepanje zaslona s 5 milijoni namestitev je bil najden ključ za dostop, ki omogoča ponastavitev gesla, ki ga uporabnik nastavi za zaklepanje naprave. Prevajalski program, ki ima 1 milijon namestitev, vključuje ključ, ki omogoča nakupe v aplikaciji in nadgradnjo programa na pro različico brez dejanskega plačila.
V programu za daljinsko upravljanje izgubljene naprave, ki ima 10 milijonov namestitev, je bilo identificirano glavno geslo, ki omogoča odstranitev ključavnice, ki jo nastavi uporabnik v primeru izgube naprave. V programu za prenosni računalnik je bilo najdeno glavno geslo, ki vam omogoča odklepanje skrivnih zapiskov. V številnih aplikacijah so bili ugotovljeni tudi načini odpravljanja napak, ki so omogočali dostop do zmožnosti nizke ravni, na primer v nakupovalni aplikaciji se je strežnik proxy zagnal, ko je bila vnesena določena kombinacija, v programu usposabljanja pa je bila možnost obiti teste .
Poleg stranskih vrat je bilo ugotovljeno, da ima 4028 (2.7 %) aplikacij črne sezname, ki se uporabljajo za cenzuriranje informacij, prejetih od uporabnika. Uporabljeni črni seznami vsebujejo nabore prepovedanih besed, vključno z imeni političnih strank in politikov ter tipične fraze, ki se uporabljajo za ustrahovanje in diskriminacijo določenih segmentov prebivalstva. Črni seznami so bili ugotovljeni v 1.98% proučevanih programov iz Google Play, v 4.46% iz alternativnega kataloga in v 3.87% s seznama vnaprej nameščenih aplikacij.
Za izvedbo analize je bil uporabljen komplet orodij InputScope, ki so ga ustvarili raziskovalci, katerega koda bo objavljena v bližnji prihodnosti. na GitHubu (raziskovalci so pred tem objavili statični analizator , ki samodejno zazna uhajanje informacij v aplikacijah).
Vir: opennet.ru