12,700の人気のあるAndroidアプリケーションのバグがハードコードされたパスワード、隠しメニュー、セキュリティバックドアを公開している、新しい調査結果
モバイルアプリケーションがなければ、スマートデバイスは大きなタッチスクリーンディスプレイと恐ろしいバッテリー寿命を備えた高価なフィーチャーフォンにすぎません。私たちはさまざまな目的でモバイルアプリを使用しており、仕事を終わらせたり、仕事が終わっても楽しませてくれる新しいアプリを探し続けています。これらのアプリは間違いを犯した本物の人間によって作成されていることを忘れがちです。 最近の研究論文は、これらの間違いがどれほど頻繁に起こり得るかを示しています。
Table of Contents
実験
ソフトウェアのバグの問題は、多くの場合、特定が難しいことです。専門家がアプリを1つずつ手動でリバースエンジニアリングする必要がある場合、大規模な研究は実際には実行できません。そのため、オハイオ州立大学、ニューヨーク大学、CISPAヘルムホルツ情報セキュリティセンターの研究者のチームが、合計15万のAndroidアプリケーションを分析するために使用したInputScope。 InputScopeは、アプリケーションのコード内のバグを自動的に検出するように設計されており、専門家は影響の大きい間違いに興味を持っていたため、最も人気のあるAndroidアプリのいくつかを採用しました。
彼らはアプリをインストール数でランク付けし、Google Playから上位10万個の無料アプリ、Baidu Marketから上位2万個の無料アプリを選びました。また、サムスンのモバイルデバイスにプリインストールされたアプリの合計3万バージョンが含まれていました。
15万のモバイルアプリケーションのすべてのバグを見つけることは実際には不可能であることはかなり明白です。専門家は、特定のユーザー入力が予期しない、または文書化されていない動作を引き起こすエラーに焦点を当てました。
結果
なんと12,706のアプリケーションがこの法案に適合することが判明し、研究者チームはその状況を「懸念している」と評価しました。これは驚くに値しません。何百万もの人々が使用するアプリケーションについて話していることを忘れないでください。それらの10分の1近くにバグが付属しています。このバグは1分後に判明しますが、かなり深刻な場合もあります。
さらに、実験はAndroidアプリに重点を置いていますが、一部の被験者はコードベースを同等のiOSと共有しているため、影響を受けるユーザーがさらに増える可能性があります。
結果
アプリが示した予期しない動作の性質は、アプリ自体の性質と同じくらい多様でした。 InputScopeは、さまざまな隠しリソースをロック解除する多くのアプリケーションで、かなりの数のハードコードされたパスワードと秘密鍵を見つけました。
場合によっては、開発段階から本番アプリに誤って引き継がれたデバッグメニューを開くことがあります。一部のアプリには、プレミアム機能のロックを解除したり、広告を削除したりするハードコードされたシークレットが付属しています。さらに心配なことに、7000個近くのアプリケーションに埋め込まれた秘密鍵は、攻撃者に個人データへのアクセスを与え、専門家はこれをバックドアライフの振る舞いと分類します。
これは深刻な問題ですが、残念ながら、本来の方法で処理されませんでした。研究者たちは影響を受けるすべてのアプリの開発者に連絡を取りましたが、残念なことに、それらの一部は応答しませんでした。何千行ものコードについて話していることを忘れてはなりません。間違いは避けられないものであり、残念ながらその結果は深刻な場合があります。悲しいことに、自分を守るためにできることはほとんどありません。そうは言っても、あなたがあなたの電話に何をインストールするかにもっと注意を払えば、バグのあるアプリを避ける可能性が高くなります。