Bug in 12.700 applicazioni Android popolari espongono password codificate, menu nascosti e backdoor di sicurezza, nuovi risultati di studio
Senza applicazioni mobili, il tuo dispositivo intelligente non è altro che un costoso telefono con un grande display touchscreen e una durata della batteria terribile. Usiamo le app mobili per tutti i tipi di scopi e continuiamo a trovarne di nuove che ci aiutano a superare la nostra giornata lavorativa o a farci divertire una volta finita. È facile dimenticare che queste app sono create da veri esseri umani che commettono errori. Un recente documento di ricerca mostra quanto siano frequenti questi errori.
Table of Contents
L'esperimento
Il problema con i bug del software è che sono spesso difficili da individuare. La ricerca su larga scala non è realmente fattibile se gli esperti devono invertire manualmente le app una alla volta, motivo per cui un team di ricercatori della Ohio State University, della New York University e del CISPA Helmholtz Center for Information Security ha sviluppato uno strumento automatizzato chiamato InputScope, che hanno utilizzato per analizzare un totale di 150 mila applicazioni Android. InputScope è progettato per trovare automaticamente bug nel codice delle applicazioni e gli esperti erano interessati a errori di grande impatto, motivo per cui hanno preso alcune delle app Android più popolari.
Hanno classificato le app in base al numero di installazioni e hanno preso le prime 100 mila applicazioni gratuite da Google Play e le prime 20 mila app gratuite da Baidu Market. Hanno anche incluso un totale di 30 mila versioni di app preinstallate su dispositivi mobili Samsung.
Dovrebbe essere abbastanza ovvio che non è davvero possibile trovare tutti i bug in 150 mila applicazioni mobili. Gli esperti si sono concentrati su errori in cui determinati input dell'utente avrebbero comportato comportamenti imprevisti o non documentati.
I risultati
12.706 applicazioni sono state trovate per adattarsi a questo disegno di legge e il team di ricercatori ha valutato la situazione come "preoccupante". Questo non è sorprendente. Non dimentichiamo che stiamo parlando di applicazioni utilizzate da milioni di persone. Quasi uno su dieci ha un bug che, come scopriremo tra un minuto, a volte potrebbe essere abbastanza serio.
Inoltre, sebbene l'esperimento si sia concentrato sulle app Android, alcuni soggetti del test condividono la loro base di codice con i loro equivalenti iOS, il che significa che potrebbero essere interessati ancora più utenti.
Le conseguenze
La natura del comportamento imprevisto che le app hanno dimostrato era quasi varia quanto la natura delle app stesse. InputScope ha trovato alcune password codificate e chiavi segrete in molte applicazioni che sbloccano varie risorse nascoste.
In alcuni casi, avrebbero aperto per errore i menu di debug trasferiti dalle fasi di sviluppo all'app di produzione. Alcune app potrebbero contenere segreti codificati che sbloccano le funzionalità premium o rimuovono gli annunci. Ancora più preoccupante, le chiavi segrete incorporate in quasi 7 mila applicazioni darebbero agli aggressori l'accesso ai dati personali, che gli esperti classificano come comportamento backdoor.
Questo è un problema serio, ma sfortunatamente non è stato gestito come avrebbe dovuto essere. I ricercatori hanno contattato gli sviluppatori di tutte le app interessate, ma sfortunatamente alcuni di loro non hanno risposto. Non dovremmo dimenticare che stiamo parlando di migliaia di righe di codice. Gli errori sono inevitabili e, sfortunatamente, a volte, le conseguenze sono serie. La parte triste è che spesso c'è poco che puoi fare per proteggerti. Detto questo, se stai più attento a ciò che installi sul tuo telefono, hai maggiori probabilità di evitare le app buggy.
