Bugs i 12.700 populære Android-applikationer udsætter hardkodede adgangskoder, skjulte menuer og sikkerhed bagdøre, nye undersøgelsesfund
Uden mobile applikationer er din smarte enhed kun andet end en dyre funktionstelefon med en stor berøringsskærmsdisplay og en frygtelig batterilevetid. Vi bruger mobile apps til alle mulige formål, og vi finder fortsat nye, der hjælper os med at komme igennem vores arbejdsdag eller holde os underholdt, når det er slut. Det er let at glemme, at disse apps er skabt af virkelige mennesker, der begår fejl. Et nyligt forskningsdokument viser, hvor hyppigt disse fejl kan være.
Table of Contents
Eksperimentet
Problemet med softwarebugs er, at de ofte er vanskelige at finde. Forskning i stor skala er ikke rigtig gennemførlig, hvis eksperter manuelt skal omvendt manipulere apps én efter én, hvorfor et team af forskere fra Ohio State University, New York University og CISPA Helmholtz Center for Information Security udviklede et automatiseret værktøj kaldet InputScope, som de brugte til at analysere i alt 150 tusind Android-applikationer. InputScope er designet til automatisk at finde fejl i applikationernes kode, og eksperterne var interesseret i fejl med stor indvirkning, hvorfor de tog nogle af de mest populære Android-apps.
De rangerede apps efter antallet af installationer og tog de 100.000 gratis applikationer fra Google Play og de 20.000 gratis apps fra Baidu Market. De inkluderede også i alt 30.000 versioner af forudinstallerede apps på Samsung mobile enheder.
Det burde være temmelig indlysende, at det ikke rigtig er muligt at finde alle bugs i 150.000 mobile applikationer. Eksperterne fokuserede på fejl, hvor visse brugerinput ville resultere i uventet eller udokumenteret opførsel.
Resultaterne
En masse 12.706 ansøgninger viste sig at passe til denne regning, og forskerteamet vurderede situationen som "angående". Dette er næppe overraskende. Lad os ikke glemme, at vi taler om applikationer, der bruges af millioner af mennesker. Tæt på hver tiende af dem kommer med en fejl, som vi som nogle minutter kan finde ud af, kan være ganske alvorlige.
Hvad mere er, selvom eksperimentet fokuserede på Android-apps, deler nogle af testpersonerne deres kodebase med deres iOS-ækvivalenter, hvilket betyder, at endnu flere brugere kan blive påvirket.
Konsekvenserne
Arten af den uventede opførsel, som apps demonstrerede, var næsten lige så varieret som selve appernes art. InputScope fandt en hel del hardkodede adgangskoder og hemmelige nøgler i mange applikationer, der låser op for forskellige skjulte ressourcer.
I nogle tilfælde åbner de fejlfindingsmenuer, der blev overført fra udviklingsstadierne til produktionsappen ved en fejltagelse. Nogle apps har hårdkodede hemmeligheder, der låser premiumfunktioner eller fjerner annoncer. Mere foruroligende ville de hemmelige nøgler, der er indlejret i tæt på 7 tusind af applikationerne, give angribere adgang til personlige data, som eksperterne klassificerer som adfærd i bagdøren.
Dette er et alvorligt problem, men desværre blev det ikke håndteret så godt, som det burde have været. Forskerne kontaktede udviklerne af alle berørte apps, men desværre svarede nogle af dem ikke. Vi skal ikke glemme, at vi taler om tusinder af kodelinjer. Fejl er uundgåelige, og desværre er konsekvenserne nogle gange alvorlige. Den triste del er, at der ofte er lidt, du kan gøre for at beskytte dig selv. Når det er sagt, hvis du er mere forsigtig med, hvad du installerer på din telefon, er du mere tilbøjelig til at undgå de buggy apps.