Муҳаққиқони Маркази амнияти иттилоотии Ҳелмҳолтс (CISPA), Донишгоҳи давлатии Огайо ва Донишгоҳи Ню-Йорк тадқиқоти функсияҳои пинҳонӣ дар замимаҳо барои платформаи Android. Таҳлили 100 ҳазор замимаи мобилӣ аз каталоги Google Play, 20 ҳазор аз каталоги алтернативӣ (Baidu) ва 30 ҳазор замимаи қаблан дар смартфонҳои гуногун насбшуда, ки аз 1000 нармафзори аз SamMobile интихобшуда интихоб шудаанд, ки 12706 (8.5%) барнома дорои функсияҳои аз корбар пинҳоншуда мебошад, аммо бо истифода аз пайдарпаии махсус фаъол карда мешавад, ки онҳоро метавон ҳамчун пушти дарҳо тасниф кард.
Махсусан, 7584 барнома калидҳои воридшудаи дастрасии махфӣ, 501 паролҳои асосии дарунсохт ва 6013 фармонҳои пинҳониро дар бар мегиранд. Дар ҳама манбаъҳои нармафзори баррасишуда замимаҳои мушкил вуҷуд доранд - бо назардошти фоизҳо дар 6.86% (6860) барномаҳои омӯхташуда аз Google Play, дар 5.32% (1064) аз каталоги алтернативӣ ва 15.96% (4788) дарҳои пуштибонӣ муайян шудаанд. аз рӯйхати барномаҳои қаблан насбшуда. Дарҳои паси муайяншуда ба ҳар касе, ки калидҳо, паролҳои фаъолсозӣ ва пайдарпайии фармонҳоро медонад, имкон медиҳад, ки ба барнома ва ҳама маълумоти марбут ба он дастрасӣ пайдо кунад.
Масалан, як барномаи ҷараёнҳои варзишӣ бо 5 миллион насбкунӣ дорои калиди дарунсохт барои ворид шудан ба интерфейси администратор аст, ки ба корбарон имкон медиҳад, ки танзимоти барномаро тағир диҳанд ва ба функсияҳои иловагӣ дастрасӣ пайдо кунанд. Дар як барномаи қулфи экран бо 5 миллион насб, калиди дастрасӣ пайдо шуд, ки ба шумо имкон медиҳад паролеро, ки корбар барои бастани дастгоҳ муқаррар кардааст, аз нав танзим кунед. Барномаи тарҷумон, ки дорои 1 миллион насбкунӣ мебошад, дорои калидест, ки ба шумо имкон медиҳад, ки дар дохили барнома харид кунед ва барномаро ба версияи pro бе пардохти ҳақиқӣ навсозӣ кунед.
Дар барномаи идоракунии дурдасти дастгоҳи гумшуда, ки 10 миллион насб дорад, пароли асосӣ муайян карда шудааст, ки имкон медиҳад қуфли муқарраркардаи корбар дар сурати гум шудани дастгоҳ хориҷ карда шавад. Дар барномаи дафтар гузарвожаи асосӣ пайдо шуд, ки ба шумо имкон медиҳад, ки қайдҳои махфиро кушоед. Дар бисёре аз барномаҳо, инчунин режимҳои ислоҳкунӣ муайян карда шуданд, ки дастрасӣ ба қобилиятҳои сатҳи пастро фароҳам меоранд, масалан, дар як барномаи харид, сервери прокси ҳангоми ворид кардани комбинатсияи муайян ба кор андохта шуд ва дар барномаи омӯзишӣ қобилияти гузаштан аз санҷишҳо мавҷуд буд. .
Илова ба дарвозаҳои паси дарҳо, дар 4028 (2.7%) замимаҳо рӯйхати сиёҳ доранд, ки барои сензураи иттилооти аз корбар гирифташуда истифода мешаванд. Рӯйхати сиёҳи истифодашуда маҷмӯи калимаҳои мамнӯъ, аз ҷумла номи аҳзоби сиёсӣ ва сиёсатмадорон ва ибораҳои маъмулиро дар бар мегирад, ки барои тарс ва табъиз нисбати қишрҳои муайяни аҳолӣ истифода мешаванд. Рӯйхати сиёҳ дар 1.98% барномаҳои омӯхташуда аз Google Play, 4.46% аз каталоги алтернативӣ ва 3.87% аз рӯйхати замимаҳои қаблан насбшуда муайян карда шудаанд.
Барои анҷом додани таҳлил асбоби InputScope, ки аз ҷониби муҳаққиқон сохта шудааст, истифода шудааст, ки рамзи он дар ояндаи наздик нашр хоҳад шуд. дар GitHub (муҳаққиқон қаблан як анализатори статикиро нашр карда буданд , ки ихроҷи иттилоотро дар барномаҳо ба таври худкор муайян мекунад).
Манбаъ: opennet.ru