Σφάλματα σε 12.700 δημοφιλείς εφαρμογές Android εκθέτουν κωδικούς με σκληρό κώδικα, κρυμμένα μηνύματα και backdoors ασφαλείας, νέα μελέτη βρίσκει
Χωρίς κινητές εφαρμογές, η έξυπνη συσκευή σας δεν είναι τίποτα περισσότερο από ένα ακριβό τηλέφωνο με μεγάλη οθόνη αφής και μια φοβερή διάρκεια ζωής της μπαταρίας. Χρησιμοποιούμε τις εφαρμογές για κινητά για κάθε είδους σκοπούς και συνεχίζουμε να βρίσκουμε καινούργιες που μας βοηθούν να περάσουμε από την δουλειά μας ή να συνεχίσουμε να διασκεδάζουμε όταν τελειώσει. Είναι εύκολο να ξεχνάμε ότι αυτές οι εφαρμογές δημιουργούνται από πραγματικούς ανθρώπους που κάνουν λάθη. Ένα πρόσφατο ερευνητικό έγγραφο δείχνει πόσο συχνά είναι αυτά τα λάθη.
Table of Contents
Το πείραμα
Το πρόβλημα με τα σφάλματα λογισμικού είναι ότι συχνά είναι δύσκολο να εντοπιστούν. Η έρευνα μεγάλης κλίμακας δεν είναι πραγματικά εφικτή εάν οι εμπειρογνώμονες πρέπει να αντιστρέψουν μηχανικά τις εφαρμογές ένα προς ένα, γι 'αυτό μια ομάδα ερευνητών από το Κρατικό Πανεπιστήμιο του Οχάιο του Πανεπιστημίου της Νέας Υόρκης και το Κέντρο Πληροφοριών CISPA Helmholtz ανέπτυξε ένα αυτοματοποιημένο εργαλείο InputScope, το οποίο χρησιμοποίησαν για να αναλύσουν συνολικά 150.000 εφαρμογές Android. Το InputScope έχει σχεδιαστεί για να εντοπίζει αυτόματα σφάλματα στον κώδικα των εφαρμογών και οι εμπειρογνώμονες ενδιαφέρονται για λάθη μεγάλης εμβέλειας και γι 'αυτό πήραν μερικές από τις πιο δημοφιλείς εφαρμογές Android.
Κατάταξαν τις εφαρμογές κατά τον αριθμό των εγκαταστάσεων και έλαβαν τις 100 χιλιάδες δωρεάν εφαρμογές από το Google Play και τις κορυφαίες 20 χιλιάδες δωρεάν εφαρμογές από την αγορά Baidu. Περιέχουν επίσης συνολικά 30.000 εκδόσεις προεγκατεστημένων εφαρμογών σε κινητές συσκευές Samsung.
Θα πρέπει να είναι αρκετά προφανές ότι η εύρεση όλων των σφαλμάτων σε 150 χιλιάδες κινητές εφαρμογές δεν είναι πραγματικά δυνατή. Οι εμπειρογνώμονες επικεντρώθηκαν σε σφάλματα στα οποία ορισμένες εισροές χρηστών θα είχαν ως αποτέλεσμα απροσδόκητη ή άτυπη συμπεριφορά.
Τα αποτελέσματα
Μια εκπληκτική 12.706 αιτήσεις βρέθηκαν να ταιριάζουν με αυτό το νομοσχέδιο και η ομάδα ερευνητών αξιολόγησε την κατάσταση ως "αφορά". Αυτό δεν προκαλεί έκπληξη. Ας μην ξεχνάμε ότι μιλάμε για εφαρμογές που χρησιμοποιούνται από εκατομμύρια ανθρώπους. Κοντά σε ένα στους δέκα από αυτούς έρχεται με ένα σφάλμα που, όπως θα ανακαλύψουμε σε ένα λεπτό, θα μπορούσε να είναι αρκετά σοβαρό μερικές φορές.
Επιπλέον, αν και το πείραμα επικεντρώθηκε σε εφαρμογές Android, μερικά από τα θέματα δοκιμής μοιράζονται τον κώδικα βάσης τους με τα ισοδύναμά τους iOS, πράγμα που σημαίνει ότι ενδέχεται να επηρεαστούν ακόμα περισσότεροι χρήστες.
Οι συνέπειες
Η φύση της απροσδόκητης συμπεριφοράς που παρουσίασαν οι εφαρμογές ήταν σχεδόν εξίσου ποικίλη με τη φύση των ίδιων των εφαρμογών. Το InputScope βρήκε αρκετούς κωδικούς πρόσβασης και μυστικά κλειδιά σε πολλές εφαρμογές που ξεκλειδώνουν διάφορους κρυφός πόρους.
Σε ορισμένες περιπτώσεις, θα ανοίξουν κατά λάθος μενού εντοπισμού σφαλμάτων που μεταφέρθηκαν από τα στάδια ανάπτυξης στην εφαρμογή παραγωγής. Ορισμένες εφαρμογές θα έρχονταν με μυστικά που κωδικοποιούν για να ξεκλειδώσετε χαρακτηριστικά υψηλής ποιότητας ή να καταργήσετε διαφημίσεις. Ανησυχέστερα, τα μυστικά κλειδιά που ενσωματώνονται σε περίπου 7 χιλιάδες εφαρμογές θα έδιναν στους επιτιθέμενους πρόσβαση σε προσωπικά δεδομένα, τα οποία οι εμπειρογνώμονες χαρακτηρίζουν ως συμπεριφορά στο πίσω μέρος της ζωής τους.
Αυτό είναι ένα σοβαρό ζήτημα, αλλά, δυστυχώς, δεν χειρίστηκε όπως θα έπρεπε. Οι ερευνητές ήρθαν σε επαφή με τους προγραμματιστές όλων των εφαρμογών που επηρεάστηκαν, αλλά, δυστυχώς, μερικοί από αυτούς δεν απάντησαν. Δεν πρέπει να ξεχνάμε ότι μιλάμε για χιλιάδες γραμμές κώδικα. Τα λάθη είναι αναπόφευκτα και, δυστυχώς, μερικές φορές, οι συνέπειες είναι σοβαρές. Το θλιβερό μέρος είναι ότι συχνά, δεν υπάρχει τίποτα που μπορείτε να κάνετε για να προστατευθείτε. Τούτου λεχθέντος, εάν είστε πιο προσεκτικοί με αυτό που εγκαθιστάτε στο τηλέφωνό σας, είναι πιο πιθανό να αποφύγετε τις εφαρμογές buggy.
