Erros em 12.700 aplicativos populares do Android expõem senhas codificadas, menus ocultos e backdoors de segurança, segundo novo estudo
Sem aplicativos móveis, seu dispositivo inteligente nada mais é do que um telefone caro, com uma grande tela sensível ao toque e uma duração de bateria terrível. Usamos aplicativos móveis para todos os tipos de fins, e continuamos encontrando novos que nos ajudam a passar o dia de trabalho ou a nos divertir depois que terminar. É fácil esquecer que esses aplicativos são criados por seres humanos reais que cometem erros. Um trabalho de pesquisa recente mostra com que freqüência esses erros podem ser.
Índice
O experimento
O problema com os erros de software é que eles geralmente são difíceis de localizar. Uma pesquisa em larga escala não é realmente viável se os especialistas precisarem reverter manualmente os aplicativos, um por um, e é por isso que uma equipe de pesquisadores da Ohio State University, da New York University e do CISPA Helmholtz Center for Information Security desenvolveu uma ferramenta automatizada chamada InputScope, que eles usaram para analisar um total de 150 mil aplicativos Android. O InputScope foi projetado para encontrar automaticamente erros no código dos aplicativos, e os especialistas estavam interessados em erros de alto impacto, razão pela qual eles usaram alguns dos aplicativos Android mais populares.
Eles classificaram os aplicativos pelo número de instalações e receberam os 100 mil aplicativos gratuitos do Google Play e os 20 mil aplicativos gratuitos do Baidu Market. Eles também incluíram um total de 30 mil versões de aplicativos pré-instalados em dispositivos móveis Samsung.
Deveria ser óbvio que encontrar todos os bugs em 150 mil aplicativos móveis não é realmente possível. Os especialistas se concentraram em erros nos quais determinadas informações do usuário resultariam em comportamento inesperado ou não documentado.
Os resultados
Foram encontradas 12.706 aplicações que se encaixavam nesse projeto, e a equipe de pesquisadores avaliou a situação como "preocupante". Isso não é surpreendente. Não vamos esquecer que estamos falando de aplicativos usados por milhões de pessoas. Quase um em cada dez deles vem com um bug que, como descobriremos em um minuto, às vezes pode ser bastante sério.
Além do mais, embora o experimento tenha se concentrado em aplicativos para Android, alguns dos participantes do teste compartilham sua base de código com seus equivalentes no iOS, o que significa que ainda mais usuários podem ser afetados.
As consequências
A natureza do comportamento inesperado demonstrado pelos aplicativos era quase tão variada quanto a natureza dos próprios aplicativos. A InputScope encontrou muitas senhas codificadas e chaves secretas em muitos aplicativos que desbloqueiam vários recursos ocultos.
Em alguns casos, eles abriam menus de depuração que foram transferidos dos estágios de desenvolvimento para o aplicativo de produção por engano. Alguns aplicativos viriam com segredos codificados que desbloqueiam recursos premium ou removem anúncios. O mais preocupante é que as chaves secretas incorporadas em quase 7 mil dos aplicativos dariam aos invasores acesso a dados pessoais, que os especialistas classificam como comportamento da vida na porta dos fundos.
Esse é um problema sério, mas, infelizmente, não foi tratado tão bem quanto deveria. Os pesquisadores contataram os desenvolvedores de todos os aplicativos afetados, mas, infelizmente, alguns deles não responderam. Não devemos esquecer que estamos falando de milhares de linhas de código. Erros são inevitáveis e, infelizmente, às vezes, as consequências são graves. A parte triste é que, muitas vezes, há pouco que você pode fazer para se proteger. Dito isto, se você for mais cuidadoso com o que instala no telefone, é mais provável que evite os aplicativos com erros.
