ہیلم ہولٹز سینٹر فار انفارمیشن سیکیورٹی (CISPA)، اوہائیو اسٹیٹ یونیورسٹی اور نیویارک یونیورسٹی کے محققین اینڈرائیڈ پلیٹ فارم کے لیے ایپلی کیشنز میں پوشیدہ فعالیت کی تحقیق۔ گوگل پلے کیٹلاگ سے 100 ہزار موبائل ایپلی کیشنز کا تجزیہ، 20 ہزار متبادل کیٹلاگ (بیدو) سے اور 30 ہزار ایپلی کیشنز جو مختلف اسمارٹ فونز پر پہلے سے انسٹال ہیں، سام موبائل کے 1000 فرم ویئر سے منتخب کی گئی ہیں، کہ 12706 (8.5%) پروگراموں میں صارف سے پوشیدہ فنکشنلٹی ہوتی ہے، لیکن خصوصی ترتیبوں کا استعمال کرتے ہوئے چالو کیا جاتا ہے، جسے پچھلے دروازے کے طور پر درجہ بندی کیا جا سکتا ہے۔
خاص طور پر، 7584 ایپلی کیشنز میں ایمبیڈڈ خفیہ رسائی کیز شامل ہیں، 501 میں ایمبیڈڈ ماسٹر پاس ورڈز شامل ہیں، اور 6013،6.86 میں پوشیدہ کمانڈز شامل ہیں۔ جانچے گئے تمام سافٹ وئیر ذرائع میں مسائل والی ایپلیکیشنز پائی جاتی ہیں - فیصد کے لحاظ سے، گوگل پلے کے زیر مطالعہ پروگراموں میں سے 6860% (5.32) میں بیک ڈور کی نشاندہی کی گئی، متبادل کیٹلاگ سے 1064% (15.96) میں اور 4788% (XNUMX) میں پہلے سے نصب ایپلی کیشنز کی فہرست سے۔ شناخت شدہ بیک ڈور کسی بھی ایسے شخص کو اجازت دیتے ہیں جو چابیاں، ایکٹیویشن پاس ورڈز اور کمانڈ سیکوئنسز کو جانتا ہے وہ ایپلیکیشن اور اس سے وابستہ تمام ڈیٹا تک رسائی حاصل کر سکتا ہے۔
مثال کے طور پر، 5 ملین انسٹالز والی اسپورٹس اسٹریمنگ ایپ میں ایڈمن انٹرفیس میں لاگ ان کرنے کے لیے ایک بلٹ ان کلید پائی گئی، جس سے صارفین ایپ کی ترتیبات کو تبدیل کر سکتے ہیں اور اضافی فعالیت تک رسائی حاصل کر سکتے ہیں۔ 5 ملین تنصیبات کے ساتھ اسکرین لاک ایپ میں، ایک رسائی کلید ملی جو آپ کو اس پاس ورڈ کو دوبارہ ترتیب دینے کی اجازت دیتی ہے جسے صارف آلہ کو لاک کرنے کے لیے سیٹ کرتا ہے۔ ٹرانسلیٹر پروگرام، جس میں 1 ملین انسٹالیشنز ہیں، میں ایک کلید شامل ہے جو آپ کو ایپ میں خریداری کرنے اور پروگرام کو پرو ورژن میں اپ گریڈ کرنے کی اجازت دیتی ہے بغیر اصل میں ادائیگی کیے۔
گمشدہ ڈیوائس کے ریموٹ کنٹرول کے پروگرام میں، جس میں 10 ملین انسٹالیشنز ہیں، ایک ماسٹر پاس ورڈ کی نشاندہی کی گئی ہے جو ڈیوائس کے گم ہونے کی صورت میں صارف کی جانب سے سیٹ لاک کو ہٹانا ممکن بناتا ہے۔ نوٹ بک پروگرام میں ایک ماسٹر پاس ورڈ ملا ہے جو آپ کو خفیہ نوٹوں کو کھولنے کی اجازت دیتا ہے۔ بہت سی ایپلی کیشنز میں، ڈیبگنگ کے طریقوں کی بھی نشاندہی کی گئی تھی جو کم درجے کی صلاحیتوں تک رسائی فراہم کرتے تھے، مثال کے طور پر، ایک شاپنگ ایپلی کیشن میں، ایک پراکسی سرور کو لانچ کیا جاتا تھا جب ایک خاص امتزاج داخل کیا جاتا تھا، اور تربیتی پروگرام میں ٹیسٹوں کو بائی پاس کرنے کی صلاحیت ہوتی تھی۔ .
پچھلے دروازوں کے علاوہ، 4028 (2.7%) ایپلی کیشنز میں صارف سے موصول ہونے والی معلومات کو سنسر کرنے کے لیے استعمال ہونے والی بلیک لسٹ پائی گئی۔ استعمال شدہ بلیک لسٹ میں ممنوعہ الفاظ کے سیٹ شامل ہیں، جن میں سیاسی جماعتوں اور سیاست دانوں کے نام شامل ہیں، اور مخصوص فقرے جو آبادی کے بعض طبقات کے خلاف خوفزدہ اور امتیازی سلوک کے لیے استعمال کیے جاتے ہیں۔ گوگل پلے کے زیر مطالعہ پروگراموں میں سے 1.98% میں، متبادل کیٹلاگ سے 4.46% اور پہلے سے انسٹال کردہ ایپلیکیشنز کی فہرست سے 3.87% میں بلیک لسٹ کی نشاندہی کی گئی۔
تجزیہ کو انجام دینے کے لیے، محققین کے ذریعے تیار کردہ InputScope ٹول کٹ کا استعمال کیا گیا، جس کا کوڈ مستقبل قریب میں جاری کیا جائے گا۔ GitHub پر (محققین نے پہلے ایک جامد تجزیہ کار شائع کیا تھا۔ ، جو ایپلی کیشنز میں معلومات کے لیک ہونے کا خود بخود پتہ لگاتا ہے)۔
ماخذ: opennet.ru