Hiba a 12 700 népszerű Android-alkalmazásban, feltárva a kódolt jelszavakat, a rejtett menüket és a biztonsági hátsó ajtókat, új tanulmányi eredmények
Mobil alkalmazások nélkül az okos készülék nem más, mint egy drága funkciótelefon, nagy érintőképernyővel és szörnyű akkumulátor-élettartammal. A mobil alkalmazásokat mindenféle célra használjuk, és folyamatosan találunk újakat, amelyek segítenek bejutni a munkanapunkba, vagy szórakoztatni minket, amint vége. Könnyű elfelejteni, hogy ezeket az alkalmazásokat valódi emberek készítik, akik hibákat követnek el. Egy nemrégiben készült tanulmány megmutatja, hogy ezek a hibák milyen gyakran fordulhatnak elő.
Table of Contents
A kísérlet
A szoftverhibák problémája az, hogy ezeket gyakran nehéz megtalálni. A nagyszabású kutatás nem igazán kivitelezhető, ha a szakértőknek egyenként kell manuálisan megfordítaniuk a mérnöki alkalmazásokat, ezért a New York-i Egyetemi Ohio Állami Egyetem és a CISPA Helmholtz Információbiztonsági Központ kutatócsoportja kifejlesztett egy automatizált eszközt. InputScope, amelyet összesen 150 ezer Android alkalmazás elemzésére használtak. Az InputScope célja, hogy automatikusan megtalálja a hibákat az alkalmazások kódjában, és a szakértőket érdeklődtek a nagy hatású hibák, ezért választották a legnépszerűbb Android alkalmazások közül néhányat.
Az alkalmazásokat a telepítések száma szerint rangsorolták, és a Google Play 100 000 ingyenes alkalmazását, valamint a Baidu Market legfontosabb 20 ezer ingyenes alkalmazását választották. Ezenkívül összesen 30 ezer verziót tartalmaztak a Samsung mobil eszközökre telepített alkalmazásaiból.
Meglehetősen nyilvánvaló, hogy az összes hiba megtalálása a 150 ezer mobil alkalmazásban nem igazán lehetséges. A szakértők olyan hibákra összpontosítottak, amelyekben bizonyos felhasználói adatok váratlan vagy dokumentálatlan viselkedést eredményezhetnek.
Az eredmények
Egy nagyszámú, 12 706 kérelemről derült fény, hogy megfelel ennek a törvényjavaslatnak, és a kutatók csapata a helyzetet "aggasztónak" ítélte. Ez aligha meglepő. Ne felejtsük el, hogy az emberek milliói által használt alkalmazásokról beszélünk. Minden tízből közel egy olyan hibával jár, amely, amint egy perc alatt megtudjuk, néha nagyon súlyos lehet.
Sőt, bár a kísérlet az Android alkalmazásokra összpontosított, néhány teszt alany megosztotta a kódbázist az iOS-ekkel, azaz még több felhasználót érinti.
A következmények
Az alkalmazások által demonstrált váratlan viselkedés jellege majdnem olyan változatos volt, mint maguk az alkalmazások. Az InputScope számos alkalmazásban megtalálta a merev kódú jelszavakat és a titkos kulcsokat, amelyek feloldják a különféle rejtett erőforrásokat.
Bizonyos esetekben olyan hibakeresési menüket nyitnak meg, amelyeket tévedésből a fejlesztési szakaszból átvitték a termelési alkalmazásba. Egyes alkalmazások merev kódolású titkokat tartalmaznak, amelyek felszabadítják a prémium funkciókat vagy eltávolítják a hirdetéseket. Még aggasztóbb, hogy a közel 7 ezer alkalmazásba beágyazott titkos kulcsok hozzáférést biztosítanak a támadóknak személyes adatokhoz, amelyeket a szakértők a hátsó ajtó életének viselkedésének minősítenek.
Ez egy komoly kérdés, de sajnos nem kezelték annyira jól, mint kellett volna. A kutatók kapcsolatba léptek az összes érintett alkalmazás fejlesztőjével, de sajnos néhányuk nem válaszolt. Nem szabad elfelejtenünk, hogy ezer sornyi kódról beszélünk. A hibák elkerülhetetlenek, és sajnos a következmények sajnos súlyosak. A szomorú rész az, hogy gyakran csak kevés lehet megtenni magának a védelme érdekében. Ennek ellenére, ha óvatosabban gondolkodik arról, amit a telefonra telepít, akkor valószínűbb, hogy elkerüli a hibás alkalmazásokat.
