Bugs in 12.700 populaire Android-applicaties onthullen hardgecodeerde wachtwoorden, verborgen menu's en achterdeuren voor beveiliging, vindt nieuwe studie
Zonder mobiele applicaties is uw smart-apparaat niets meer dan een dure functietelefoon met een groot touchscreen-display en een verschrikkelijke batterijduur. We gebruiken mobiele apps voor allerlei doeleinden en we blijven nieuwe vinden die ons helpen onze werkdag door te komen of ons te vermaken als het voorbij is. Het is gemakkelijk om te vergeten dat deze apps zijn gemaakt door echte mensen die fouten maken. Een recent onderzoekspaper laat zien hoe vaak deze fouten kunnen voorkomen.
Table of Contents
Het experiment
Het probleem met softwarefouten is dat ze vaak moeilijk te lokaliseren zijn. Grootschalig onderzoek is niet echt haalbaar als experts apps één voor één handmatig moeten reverse-engineeren.Daarom ontwikkelde een team van onderzoekers van de Ohio State University, New York University en CISPA Helmholtz Center for Information Security een geautomatiseerde tool genaamd InputScope, waarmee ze in totaal 150 duizend Android-applicaties analyseerden. InputScope is ontworpen om automatisch bugs in de programmacode te vinden en de experts waren geïnteresseerd in fouten met grote impact.Daarom namen ze enkele van de meest populaire Android-apps.
Ze rangschikten de apps op basis van het aantal installaties en namen de top 100 duizend gratis applicaties van Google Play en de top 20 duizend gratis apps van Baidu Market. Ze bevatten ook in totaal 30 duizend versies van vooraf geïnstalleerde apps op mobiele Samsung-apparaten.
Het moet vrij duidelijk zijn dat het niet echt mogelijk is om alle bugs in 150 duizend mobiele applicaties te vinden. De experts concentreerden zich op fouten waarbij bepaalde gebruikersinvoer zou resulteren in onverwacht of ongedocumenteerd gedrag.
De resultaten
Maar liefst 12.706 aanvragen bleken in deze wet te passen, en het team van onderzoekers beoordeelde de situatie als 'zorgwekkend'. Dit is niet zo gek. Laten we niet vergeten dat we het hebben over applicaties die door miljoenen mensen worden gebruikt. Bijna een op de tien van hen heeft een bug die, zoals we zo meteen zullen ontdekken, soms behoorlijk ernstig kan zijn.
Bovendien, hoewel het experiment zich richtte op Android-apps, delen sommige proefpersonen hun codebasis met hun iOS-equivalenten, wat betekent dat er mogelijk nog meer gebruikers worden getroffen.
De gevolgen
De aard van het onverwachte gedrag dat de apps vertoonden, was bijna net zo gevarieerd als de aard van de apps zelf. InputScope vond nogal wat hardgecodeerde wachtwoorden en geheime sleutels in veel applicaties die verschillende verborgen bronnen ontgrendelen.
In sommige gevallen zouden ze debug-menu's openen die per ongeluk werden overgedragen van de ontwikkelingsfase naar de productie-app. Sommige apps bevatten hardgecodeerde geheimen die premiumfuncties ontgrendelen of advertenties verwijderen. Nog zorgwekkender is dat de geheime sleutels die in bijna 7 duizend van de applicaties zijn ingebed, aanvallers toegang zouden geven tot persoonlijke gegevens, die de experts classificeren als achterdeur-levensgedrag.
Dit is een ernstig probleem, maar helaas werd het niet zo goed afgehandeld als zou moeten. De onderzoekers namen contact op met de ontwikkelaars van alle betrokken apps, maar helaas reageerden sommigen niet. We mogen niet vergeten dat we het hebben over duizenden regels code. Fouten zijn onvermijdelijk en helaas zijn de gevolgen soms ernstig. Het trieste is dat je vaak weinig kunt doen om jezelf te beschermen. Dat gezegd hebbende, als u voorzichtiger bent met wat u op uw telefoon installeert, zult u de buggy-apps eerder vermijden.
