Ошибки в 12 700 популярных приложениях для Android содержат жестко закодированные пароли, скрытые меню и бэкдоры безопасности, новые результаты исследований
Без мобильных приложений ваше интеллектуальное устройство - не более чем дорогой телефон с большим сенсорным дисплеем и ужасным временем автономной работы. Мы используем мобильные приложения для самых разных целей, и мы постоянно находим новые, которые помогают нам пережить наш рабочий день или развлекать нас, когда он закончится. Легко забыть, что эти приложения созданы реальными людьми, которые делают ошибки. Недавние исследования показывают, насколько частыми могут быть эти ошибки.
Table of Contents
Эксперимент
Проблема с программными ошибками заключается в том, что их часто трудно обнаружить. Крупномасштабные исследования не являются действительно осуществимыми, если экспертам необходимо вручную перепроектировать приложения одно за другим, поэтому группа исследователей из Университета штата Огайо, Нью-Йоркского университета и Центра информационной безопасности CISPA Helmholtz разработала автоматизированный инструмент под названием InputScope, который они использовали для анализа в общей сложности 150 тысяч приложений Android. InputScope предназначен для автоматического поиска ошибок в коде приложений, и эксперты были заинтересованы в серьезных ошибках, поэтому они взяли некоторые из самых популярных приложений для Android.
Они оценили приложения по количеству установок и взяли 100 тысяч бесплатных приложений из Google Play и 20 тысяч бесплатных приложений от Baidu Market. Они также включали в себя 30 тысяч версий предустановленных приложений на мобильных устройствах Samsung.
Должно быть совершенно очевидно, что найти все ошибки в 150 тысячах мобильных приложений на самом деле невозможно. Эксперты сосредоточились на ошибках, в результате которых определенный ввод пользователя может привести к неожиданному или недокументированному поведению.
Результаты
Было найдено колоссальное количество 12 706 заявок, чтобы удовлетворить этот счет, и команда исследователей оценила ситуацию как "относящуюся". Это вряд ли удивительно. Давайте не будем забывать, что речь идет о приложениях, которыми пользуются миллионы людей. Почти каждый десятый из них имеет ошибку, которая, как мы выясним через минуту, иногда может быть довольно серьезной.
Более того, хотя эксперимент был сфокусирован на приложениях для Android, некоторые участники тестирования делятся своей кодовой базой со своими эквивалентами iOS, что означает, что это может повлиять на еще большее количество пользователей.
Последствия
Природа неожиданного поведения, продемонстрированного приложениями, была почти такой же разнообразной, как и природа самих приложений. InputScope обнаружил довольно много жестко закодированных паролей и секретных ключей во многих приложениях, которые открывают различные скрытые ресурсы.
В некоторых случаях они по ошибке открывают меню отладки, которые переносятся с этапов разработки на производственное приложение. Некоторые приложения поставляются с жестко закодированными секретами, которые открывают дополнительные функции или удаляют рекламу. Еще более тревожно то, что секретные ключи, встроенные в около 7 тысяч приложений, открывают злоумышленникам доступ к личным данным, которые эксперты классифицируют как бэкдор.
Это серьезная проблема, но, к сожалению, она не была решена так, как следовало бы. Исследователи связались с разработчиками всех уязвимых приложений, но, к сожалению, некоторые из них не ответили. Мы не должны забывать, что мы говорим о тысячах строк кода. Ошибки неизбежны, и, к сожалению, иногда последствия серьезны. Грустная часть в том, что часто вы мало что можете сделать, чтобы защитить себя. При этом, если вы будете более осторожны с тем, что устанавливаете на свой телефон, вы, скорее всего, избежите глючных приложений.
