Błędy w 12 700 popularnych aplikacjach na Androida ujawniają zakodowane hasła, ukryte menu i backdoory bezpieczeństwa, nowe wyniki badań
Bez aplikacji mobilnych Twoje urządzenie inteligentne jest tylko drogim telefonem z dużym ekranem dotykowym i straszną żywotnością baterii. Korzystamy z aplikacji mobilnych do różnego rodzaju celów i ciągle znajdujemy nowe, które pomogą nam przetrwać dzień pracy lub zapewnią rozrywkę po jego zakończeniu. Łatwo zapomnieć, że te aplikacje są tworzone przez prawdziwych ludzi, którzy popełniają błędy. Ostatni artykuł badawczy pokazuje, jak często te błędy mogą być.
Table of Contents
Eksperyment
Problem z błędami oprogramowania polega na tym, że często trudno je zlokalizować. Badania na dużą skalę nie są tak naprawdę wykonalne, jeśli eksperci muszą ręcznie ręcznie inżynierować aplikacje jeden po drugim, dlatego zespół naukowców z Ohio State University, New York University i CISPA Helmholtz Center for Information Security opracował zautomatyzowane narzędzie o nazwie InputScope, którego użyli do analizy łącznie 150 tysięcy aplikacji na Androida. InputScope jest zaprojektowany do automatycznego wyszukiwania błędów w kodzie aplikacji, a eksperci byli zainteresowani wysokowydajnymi błędami, dlatego wybrali niektóre z najpopularniejszych aplikacji na Androida.
Sklasyfikowali aplikacje według liczby instalacji i wzięli 100 najlepszych darmowych aplikacji z Google Play, a 20 najlepszych darmowych aplikacji z Baidu Market. Obejmowały one także łącznie 30 tysięcy wersji preinstalowanych aplikacji na urządzenia mobilne Samsung.
Powinno być całkiem oczywiste, że znalezienie wszystkich błędów w 150 tysiącach aplikacji mobilnych nie jest tak naprawdę możliwe. Eksperci skoncentrowali się na błędach, w których niektóre uwagi użytkowników spowodowałyby nieoczekiwane lub nieudokumentowane zachowanie.
Wyniki
Okazało się, że aż 12 706 aplikacji pasuje do tego rachunku, a zespół naukowców ocenił sytuację jako „niepokojącą”. Nie jest to zaskakujące. Nie zapominajmy, że mówimy o aplikacjach używanych przez miliony ludzi. Blisko jeden na dziesięć z nich zawiera błąd, który, jak się dowiemy za chwilę, może być czasem dość poważny.
Co więcej, chociaż eksperyment koncentrował się na aplikacjach na Androida, niektórzy badani dzielą się swoją bazą kodów z odpowiednikami dla iOS, co oznacza, że może to dotyczyć jeszcze większej liczby użytkowników.
Konsekwencje
Charakter nieoczekiwanego zachowania pokazanego przez aplikacje był prawie tak zróżnicowany, jak charakter samych aplikacji. InputScope znalazł sporo zakodowanych haseł i tajnych kluczy w wielu aplikacjach, które odblokowują różne ukryte zasoby.
W niektórych przypadkach otworzyliby menu debugowania, które zostały przypadkowo przeniesione z etapów programowania do aplikacji produkcyjnej. Niektóre aplikacje zawierają zakodowane na stałe sekrety, które odblokowują funkcje premium lub usuwają reklamy. Co bardziej niepokojące, tajne klucze osadzone w blisko 7 tysiącach aplikacji zapewniłyby atakującym dostęp do danych osobowych, które eksperci klasyfikują jako zachowanie backdoor-life.
To poważny problem, ale niestety nie został rozwiązany tak dobrze, jak powinien. Badacze skontaktowali się z twórcami wszystkich aplikacji, których dotyczy problem, ale niestety niektóre z nich nie odpowiedziały. Nie powinniśmy zapominać, że mówimy o tysiącach linii kodu. Błędy są nieuniknione i niestety czasami konsekwencje są poważne. Smutne jest to, że często niewiele można zrobić, aby się zabezpieczyć. Biorąc to pod uwagę, jeśli jesteś bardziej ostrożny z tym, co instalujesz w telefonie, bardziej prawdopodobne jest, że unikniesz błędnych aplikacji.
