Дослідники Центру Гельмгольця з інформаційної безпеки (CISPA), Університету штату Огайо та Нью-Йоркського університету дослідження прихованої функціональності у додатках для платформи Android. Аналіз 100 тисяч мобільних додатків з каталогу Google Play, 20 тисяч з альтернативного каталогу (Baidu) і 30 тисяч програм, що встановлюються на різні смартфони, виділених з 1000 прошивок з SamMobile, 12706 (8.5%) програм містять приховану від користувача, але активовану за допомогою спеціальних послідовностей функціональність, яку можна віднести до бекдорів.
Зокрема 7584 додатків включали вбудовані секретні ключі доступу, 501 – вбудовані майстер-паролі та 6013 – приховані команди. Проблемні програми зустрічаються у всіх розглянутих джерелах програм — у відсотковому співвідношенні бекдори були виявлені в 6.86% (6860) вивчених програм з Google Play, в 5.32% (1064) з альтернативного каталогу і в 15.96% (4788) зі списку додатків, що встановлюються. Виявлені бекдори дозволяють будь-кому, хто знає ключі, паролі активації та послідовності для виклику команд, отримати доступ до програми та всіх пов'язаних з ним даних.
Наприклад, у додатку для потокового мовлення спортивних матчів, що має 5 млн установок, виявлено вбудований ключ для входу в інтерфейс адміністратора, який дає змогу змінити налаштування програми та отримати доступ до додаткової функціональності. У програмах для блокування екрана, що налічує 5 млн установок, знайдено ключ доступу, що дозволяє скинути пароль, що виставляється користувачем для блокування пристрою. У програмі-перекладачі, що налічує 1 млн установок, є ключ, що дозволяє здійснювати всередині програми покупки і оновити програму до pro-версії без фактичної оплати.
У програмі дистанційного керування втраченим пристроєм, що налічує 10 млн установок, виявлено майстер-пароль, що дає можливість зняти блокування, встановлене користувачем на випадок втрати апарату. У програмі для ведення записника знайдено майстер-пароль, що дозволяє розблокувати секретні нотатки. У багатьох додатках також виявлені режими налагодження, що відкривають доступ до низькорівневих можливостей, наприклад, у додатку для здійснення покупок при введенні певної комбінації запускався проксі-сервер, а в навчальній програмі була можливість обходу проходження тестів.
Крім бекдорів, у 4028 (2.7%) додатках виявлено наявність чорних списків, що застосовуються для цензурування інформації, що надходить від користувача. Чорні списки, що застосовуються, містять набори заборонених для згадування слів, включаючи імена політичних партій і політиків, типові фрази, що вживаються для залякування та дискримінації певних верств населення. Чорні списки виявлені в 1.98% вивчених програм з Google Play, в 4.46% з альтернативного каталогу і в 3.87% зі списку додатків, що встановлюються.
Для проведення аналізу використаний створений дослідниками інструментарій InputScope, код якого найближчим часом буде на GitHub (раніше дослідники вже опублікували статичний аналізатор , який автоматично виявляє витоку інформації у додатках).
Джерело: opennet.ru