Bugs i 12 700 populære Android-applikasjoner avslører hardkodede passord, skjulte menyer og bakdører i sikkerhet, nye studieresultater
Uten mobilapplikasjoner er smartenheten din ikke noe mer enn en dyr funksjonstelefon med et stort berøringsskjermdisplay og en forferdelig batteritid. Vi bruker mobilapper til alle slags formål, og vi fortsetter å finne nye som hjelper oss med å komme gjennom arbeidshverdagen eller holde oss underholdt når det er over. Det er lett å glemme at disse appene er skapt av virkelige mennesker som gjør feil. En fersk forskningsrapport viser hvor hyppige disse feilene kan være.
Table of Contents
Eksperimentet
Problemet med programvarebugs er at de ofte er vanskelige å finne. Storskala forskning er egentlig ikke mulig hvis eksperter trenger å manuelt reversere applikasjoner én etter én, og det er grunnen til at et team av forskere fra Ohio State University, New York University og CISPA Helmholtz Center for Information Security utviklet et automatisert verktøy som heter InputScope, som de brukte til å analysere til sammen 150 tusen Android-applikasjoner. InputScope er designet for å automatisk finne feil i programmets kode, og ekspertene var interessert i feil med stor innvirkning, og det er grunnen til at de tok noen av de mest populære Android-appene.
De rangerte appene etter antall installasjoner og tok topp 100 tusen gratis-applikasjoner fra Google Play, og de topp 20 tusen gratis-appene fra Baidu Market. De inkluderte også totalt 30 000 versjoner av forhåndsinstallerte apper på Samsung mobile enheter.
Det skal være ganske åpenbart at det egentlig ikke er mulig å finne alle feilene i 150 000 mobilapplikasjoner. Ekspertene fokuserte på feil der visse brukerinnspill ville resultere i uventet eller udokumentert oppførsel.
Resultatene
Det ble funnet totalt 12 706 søknader som passet denne regningen, og forskerteamet evaluerte situasjonen som "angående." Dette er neppe overraskende. La oss ikke glemme at vi snakker om applikasjoner som brukes av millioner av mennesker. Nær en av hver tiende av dem kommer med en feil som vi finner ut om et minutt, kan være ganske alvorlige noen ganger.
Selv om eksperimentet fokuserte på Android-apper, deler noen av testpersonene kodebasen med iOS-ekvivalenter, noe som betyr at enda flere brukere kan bli berørt.
Konsekvensene
Arten av den uventede oppførselen appene demonstrerte var nesten like variert som appenes natur. InputScope fant ganske mange hardkodede passord og hemmelige nøkler i mange applikasjoner som låser opp forskjellige skjulte ressurser.
I noen tilfeller ville de åpne feilsøkingsmenyer som ble overført fra utviklingsstadiene til produksjonsappen ved en feiltakelse. Noen apper vil ha hardkodede hemmeligheter som låser opp premiumfunksjoner eller fjerner annonser. Mer bekymringsfullt ville de hemmelige nøklene som var innebygd i nærmere 7000 av applikasjonene, gi angripere tilgang til personopplysninger, som ekspertene klassifiserer som oppførsel bak livets dør.
Dette er en alvorlig sak, men dessverre ble den ikke håndtert så bra som den burde vært. Forskerne tok kontakt med utviklerne av alle berørte apper, men dessverre svarte noen av dem ikke. Vi skal ikke glemme at vi snakker om tusenvis av kodelinjer. Feil er uunngåelig, og dessverre noen ganger er konsekvensene alvorlige. Den triste delen er at ofte er det lite du kan gjøre for å beskytte deg selv. Når det er sagt, hvis du er mer forsiktig med hva du installerer på telefonen, er det mer sannsynlig at du unngår avlyttende apper.
