Fehler in 12.700 beliebten Android-Anwendungen enthüllen fest codierte Passwörter, versteckte Menüs und Sicherheits-Hintertüren, neue Studienergebnisse
Ohne mobile Anwendungen ist Ihr Smart-Gerät nichts anderes als ein teures Feature-Telefon mit einem großen Touchscreen-Display und einer schrecklichen Akkulaufzeit. Wir verwenden mobile Apps für alle möglichen Zwecke und finden immer wieder neue, die uns helfen, unseren Arbeitstag zu überstehen oder uns zu unterhalten, sobald er vorbei ist. Es ist leicht zu vergessen, dass diese Apps von echten Menschen erstellt wurden, die Fehler machen. Ein kürzlich veröffentlichtes Forschungspapier zeigt, wie häufig diese Fehler sein können.
Table of Contents
Das Experiment
Das Problem mit Softwarefehlern ist, dass sie oft schwer zu finden sind. Eine groß angelegte Forschung ist nicht wirklich machbar, wenn Experten Apps einzeln manuell zurückentwickeln müssen. Aus diesem Grund hat ein Forscherteam der Ohio State University, der New York University und des CISPA Helmholtz Center for Information Security ein automatisiertes Tool namens entwickelt InputScope, mit dem insgesamt 150.000 Android-Anwendungen analysiert wurden. InputScope wurde entwickelt, um Fehler im Anwendungscode automatisch zu finden. Die Experten waren an schwerwiegenden Fehlern interessiert, weshalb sie einige der beliebtesten Android-Apps verwendet haben.
Sie stuften die Apps nach der Anzahl der Installationen ein und nahmen die 100.000 besten kostenlosen Anwendungen von Google Play und die 20.000 besten kostenlosen Apps von Baidu Market. Sie enthielten außerdem insgesamt 30.000 Versionen vorinstallierter Apps auf Samsung-Mobilgeräten.
Es sollte ziemlich offensichtlich sein, dass es nicht wirklich möglich ist, alle Fehler in 150.000 mobilen Anwendungen zu finden. Die Experten konzentrierten sich auf Fehler, bei denen bestimmte Benutzereingaben zu unerwartetem oder nicht dokumentiertem Verhalten führen würden.
Die Ergebnisse
Es wurden satte 12.706 Anträge gefunden, die zu dieser Rechnung passen, und das Forscherteam bewertete die Situation als "besorgniserregend". Das ist kaum überraschend. Vergessen wir nicht, dass es sich um Anwendungen handelt, die von Millionen von Menschen verwendet werden. Nahezu jeder zehnte von ihnen hat einen Fehler, der, wie wir gleich herausfinden werden, manchmal sehr schwerwiegend sein kann.
Obwohl sich das Experiment auf Android-Apps konzentrierte, teilen einige der Testpersonen ihre Codebasis mit ihren iOS-Entsprechungen, was bedeutet, dass möglicherweise noch mehr Benutzer betroffen sind.
Die Konsequenzen
Die Art des unerwarteten Verhaltens, das die Apps zeigten, war fast so unterschiedlich wie die Art der Apps selbst. InputScope hat in vielen Anwendungen einige fest codierte Passwörter und geheime Schlüssel gefunden, die verschiedene versteckte Ressourcen freischalten.
In einigen Fällen öffneten sie Debug-Menüs, die versehentlich von der Entwicklungsphase auf die Produktions-App übertragen wurden. Einige Apps enthalten fest codierte Geheimnisse, mit denen Premium-Funktionen freigeschaltet oder Anzeigen entfernt werden können. Noch besorgniserregender ist, dass die in fast 7.000 Anwendungen eingebetteten geheimen Schlüssel Angreifern Zugriff auf personenbezogene Daten gewähren würden, die von den Experten als Backdoor-Life-Verhalten eingestuft werden.
Dies ist ein ernstes Problem, aber leider wurde es nicht so gut behandelt, wie es hätte sein sollen. Die Forscher kontaktierten die Entwickler aller betroffenen Apps, aber leider antworteten einige von ihnen nicht. Wir sollten nicht vergessen, dass es sich um Tausende von Codezeilen handelt. Fehler sind unvermeidlich und leider sind die Folgen manchmal schwerwiegend. Der traurige Teil ist, dass Sie oft wenig tun können, um sich zu schützen. Wenn Sie jedoch vorsichtiger mit der Installation auf Ihrem Telefon umgehen, vermeiden Sie mit größerer Wahrscheinlichkeit die fehlerhaften Apps.
