Дослідники Центру Гельмгольця з інформаційної безпеки (CISPA), Університету штату Огайо та Нью-Йоркського університету
Зокрема 7584 додатків включали вбудовані секретні ключі доступу, 501 – вбудовані майстер-паролі та 6013 – приховані команди. Проблемні програми зустрічаються у всіх розглянутих джерелах програм — у відсотковому співвідношенні бекдори були виявлені в 6.86% (6860) вивчених програм з Google Play, в 5.32% (1064) з альтернативного каталогу і в 15.96% (4788) зі списку додатків, що встановлюються. Виявлені бекдори дозволяють будь-кому, хто знає ключі, паролі активації та послідовності для виклику команд, отримати доступ до програми та всіх пов'язаних з ним даних.
Наприклад, у додатку для потокового мовлення спортивних матчів, що має 5 млн установок, виявлено вбудований ключ для входу в інтерфейс адміністратора, який дає змогу змінити налаштування програми та отримати доступ до додаткової функціональності. У програмах для блокування екрана, що налічує 5 млн установок, знайдено ключ доступу, що дозволяє скинути пароль, що виставляється користувачем для блокування пристрою. У програмі-перекладачі, що налічує 1 млн установок, є ключ, що дозволяє здійснювати всередині програми покупки і оновити програму до pro-версії без фактичної оплати.
У програмі дистанційного керування втраченим пристроєм, що налічує 10 млн установок, виявлено майстер-пароль, що дає можливість зняти блокування, встановлене користувачем на випадок втрати апарату. У програмі для ведення записника знайдено майстер-пароль, що дозволяє розблокувати секретні нотатки. У багатьох додатках також виявлені режими налагодження, що відкривають доступ до низькорівневих можливостей, наприклад, у додатку для здійснення покупок при введенні певної комбінації запускався проксі-сервер, а в навчальній програмі була можливість обходу проходження тестів.
Крім бекдорів, у 4028 (2.7%) додатках виявлено наявність чорних списків, що застосовуються для цензурування інформації, що надходить від користувача. Чорні списки, що застосовуються, містять набори заборонених для згадування слів, включаючи імена політичних партій і політиків, типові фрази, що вживаються для залякування та дискримінації певних верств населення. Чорні списки виявлені в 1.98% вивчених програм з Google Play, в 4.46% з альтернативного каталогу і в 3.87% зі списку додатків, що встановлюються.
Для проведення аналізу використаний створений дослідниками інструментарій InputScope, код якого найближчим часом буде
Джерело: opennet.ru