นักวิจัยจาก Helmholtz Center for Information Security (CISPA), มหาวิทยาลัยแห่งรัฐโอไฮโอ และมหาวิทยาลัยนิวยอร์ก
โดยเฉพาะอย่างยิ่ง แอปพลิเคชัน 7584 รายการมีคีย์การเข้าถึงข้อมูลลับแบบฝัง 501 รายการมีรหัสผ่านหลักแบบฝัง และ 6013 รายการมีคำสั่งที่ซ่อนอยู่ พบแอปพลิเคชันที่มีปัญหาในแหล่งซอฟต์แวร์ทั้งหมดที่ตรวจสอบ - ในแง่เปอร์เซ็นต์ แบ็คดอร์ถูกระบุในโปรแกรมที่ศึกษาจาก Google Play 6.86% (6860) ใน 5.32% (1064) จากแค็ตตาล็อกทางเลือก และใน 15.96% (4788) จากรายการแอพพลิเคชั่นที่ติดตั้งไว้ล่วงหน้า แบ็คดอร์ที่ระบุอนุญาตให้ใครก็ตามที่รู้คีย์ รหัสผ่านการเปิดใช้งาน และลำดับคำสั่ง สามารถเข้าถึงแอปพลิเคชันและข้อมูลทั้งหมดที่เกี่ยวข้องได้
ตัวอย่างเช่น พบว่าแอปสตรีมมิงกีฬาที่มีการติดตั้ง 5 ล้านครั้งมีคีย์ในตัวเพื่อลงชื่อเข้าใช้อินเทอร์เฟซผู้ดูแลระบบ ทำให้ผู้ใช้สามารถเปลี่ยนการตั้งค่าแอปและเข้าถึงฟังก์ชันเพิ่มเติมได้ ในแอปล็อกหน้าจอที่มีการติดตั้ง 5 ล้านครั้ง พบคีย์การเข้าถึงที่ช่วยให้คุณสามารถรีเซ็ตรหัสผ่านที่ผู้ใช้ตั้งไว้เพื่อล็อกอุปกรณ์ได้ โปรแกรมนักแปลซึ่งมีการติดตั้ง 1 ล้านครั้ง มีคีย์ที่ช่วยให้คุณทำการซื้อในแอปและอัปเกรดโปรแกรมเป็นเวอร์ชันโปรโดยไม่ต้องจ่ายเงินจริง
ในโปรแกรมสำหรับการควบคุมระยะไกลของอุปกรณ์ที่สูญหายซึ่งมีการติดตั้ง 10 ล้านครั้งมีการระบุรหัสผ่านหลักซึ่งทำให้สามารถลบการล็อคที่ผู้ใช้ตั้งไว้ในกรณีที่อุปกรณ์สูญหาย พบรหัสผ่านหลักในโปรแกรมโน้ตบุ๊กที่ให้คุณปลดล็อคบันทึกลับได้ ในแอปพลิเคชันจำนวนมาก โหมดการแก้ไขจุดบกพร่องยังถูกระบุด้วยว่าให้การเข้าถึงความสามารถระดับต่ำ เช่น ในแอปพลิเคชันช็อปปิ้ง พร็อกซีเซิร์ฟเวอร์จะเปิดตัวเมื่อมีการป้อนชุดค่าผสมบางอย่าง และในโปรแกรมการฝึกอบรมมีความสามารถในการข้ามการทดสอบ .
นอกจากแบ็คดอร์แล้ว ยังพบว่ามีแอปพลิเคชัน 4028 รายการ (2.7%) ที่มีบัญชีดำที่ใช้ในการเซ็นเซอร์ข้อมูลที่ได้รับจากผู้ใช้ บัญชีดำที่ใช้ประกอบด้วยชุดคำต้องห้าม รวมถึงชื่อของพรรคการเมืองและนักการเมือง และวลีทั่วไปที่ใช้ในการข่มขู่และเลือกปฏิบัติต่อประชากรบางกลุ่ม บัญชีดำถูกระบุใน 1.98% ของโปรแกรมที่ศึกษาจาก Google Play, 4.46% จากแคตตาล็อกทางเลือก และ 3.87% จากรายการแอปพลิเคชันที่ติดตั้งไว้ล่วงหน้า
ในการดำเนินการวิเคราะห์ ชุดเครื่องมือ InputScope ที่สร้างโดยนักวิจัยได้ถูกนำมาใช้ ซึ่งโค้ดดังกล่าวจะเปิดตัวในอนาคตอันใกล้นี้
ที่มา: opennet.ru