Peneliti di Helmholtz Center pikeun Kaamanan Émbaran (CISPA), The Ohio State University jeung New York University panalungtikan fungsionalitas disumputkeun dina aplikasi pikeun platform Android. Analisis 100 rébu aplikasi mobile tina katalog Google Play, 20 rébu tina katalog alternatif (Baidu) sareng 30 rébu aplikasi anu tos dipasang dina sababaraha smartphone, dipilih tina 1000 firmware ti SamMobile, éta 12706 (8.5%) program ngandung fungsionalitas disumputkeun ti pamaké, tapi diaktipkeun maké runtuyan husus, nu bisa digolongkeun kana backdoors.
Sacara husus, 7584 aplikasi kaasup konci aksés rusiah embedded, 501 kaasup embedded sandi master, sarta 6013 kaasup paréntah disumputkeun. Aplikasi anu bermasalah kapanggih dina sadaya sumber parangkat lunak anu ditaliti - dina persentase, panto tukang diidentifikasi dina 6.86% (6860) tina program anu ditalungtik ti Google Play, dina 5.32% (1064) tina katalog alternatif sareng dina 15.96% (4788) tina daptar aplikasi anu tos dipasang. Pintu tukang anu diidentifikasi ngamungkinkeun saha waé anu terang konci, kecap akses aktivasina sareng sekuen paréntah pikeun kéngingkeun aksés kana aplikasi sareng sadaya data anu aya hubunganana.
Salaku conto, aplikasi streaming olahraga sareng pamasangan 5 juta kapanggih gaduh konci anu diwangun pikeun asup kana antarmuka admin, ngamungkinkeun para pangguna ngarobih setélan aplikasi sareng ngaksés fungsionalitas tambahan. Dina aplikasi konci layar sareng 5 juta pamasangan, konci aksés kapendak anu ngamungkinkeun anjeun ngareset kecap konci anu disetél ku pangguna pikeun ngonci alat. Program penerjemah, anu ngagaduhan 1 juta pamasangan, kalebet konci anu ngamungkinkeun anjeun mésér in-app sareng ningkatkeun program kana versi pro tanpa leres-leres mayar.
Dina program pikeun kadali jauh tina alat anu leungit, anu ngagaduhan 10 juta pamasangan, kecap konci master parantos diidentifikasi anu ngamungkinkeun pikeun ngahapus konci anu diatur ku pangguna upami kaleungitan alat. A sandi master kapanggih dina program notebook nu ngidinan Anjeun pikeun muka konci catetan rusiah. Dina seueur aplikasi, modeu debugging ogé diidentifikasi anu nyayogikeun aksés kana kamampuan tingkat rendah, contona, dina aplikasi balanja, server proxy diluncurkeun nalika kombinasi anu tangtu diasupkeun, sareng dina program pelatihan aya kamampuan pikeun lulus tés. .
Salian backdoors, 4028 (2.7%) aplikasi kapanggih boga blacklists dipaké pikeun sensor informasi narima ti pamaké. Daptar hideung anu dianggo ngandung sakumpulan kecap anu dilarang, kalebet nami parpol sareng politikus, sareng frasa khas anu dianggo pikeun nyingsieunan sareng ngadiskriminasikeun sababaraha bagéan populasi. Daptar hideung diidentifikasi dina 1.98% tina program anu ditalungtik ti Google Play, dina 4.46% tina katalog alternatif sareng dina 3.87% tina daptar aplikasi anu tos dipasang.
Pikeun ngalaksanakeun analisa, toolkit InputScope anu diciptakeun ku panaliti dianggo, kodeu anu bakal dileupaskeun dina waktos anu caket. on GitHub (panalungtik saméméhna geus diterbitkeun mangrupa analyzer statik , anu otomatis ngadeteksi bocor inpormasi dina aplikasi).
sumber: opennet.ru