Bugs i 12 700 populära Android-applikationer exponerar hårdkodade lösenord, dolda menyer och säkerhetsdörrar, nya studieresultat
Utan mobila applikationer är din smarta enhet inget annat än en dyr funktionstelefon med en stor pekskärmskärm och en fruktansvärd batteritid. Vi använder mobilappar för alla slags ändamål och vi fortsätter hitta nya som hjälper oss att komma igenom vår arbetsdag eller hålla oss underhållna när det är över. Det är lätt att glömma att dessa appar skapas av riktiga människor som gör misstag. Ett forskningsdokument som nyligen visar hur ofta dessa misstag kan vara.
Table of Contents
Experimentet
Problemet med programvarufel är att de ofta är svåra att hitta. Storskalig forskning är inte riktigt genomförbar om experter måste manuellt omvända ingenjörsappar en efter en, varför ett team av forskare från Ohio State University, New York University och CISPA Helmholtz Center for Information Security utvecklade ett automatiserat verktyg som heter InputScope, som de använde för att analysera totalt 150 tusen Android-applikationer. InputScope är utformat för att automatiskt hitta buggar i applikationens kod, och experterna var intresserade av felaktiga misstag, varför de tog några av de mest populära Android-apparna.
De rankade apparna efter antalet installationer och tog de 100 000 gratisprogrammen från Google Play och de 20 000 gratisapparna från Baidu Market. De inkluderade också totalt 30 tusen versioner av förinstallerade appar på Samsung mobila enheter.
Det borde vara ganska uppenbart att det inte verkligen är möjligt att hitta alla buggar i 150 tusen mobilapplikationer. Experterna fokuserade på fel där viss användarinmatning skulle resultera i oväntat eller odokumenterat beteende.
Resultaten
Ett stort antal 12 706 ansökningar visade sig passa den här räkningen, och forskargruppen utvärderade situationen som "beträffande". Detta är knappast förvånande. Låt oss inte glömma att vi talar om applikationer som används av miljoner människor. Nära till var tionde av dem kommer med ett fel som vi kan ta reda på på en minut ibland.
Dessutom, även om experimentet fokuserade på Android-appar, delar några testpersoner sin kodbas med sina iOS-ekvivalenter, vilket innebär att ännu fler användare kan påverkas.
Konsekvenserna
Arten av det oväntade beteendet som apparna visade var nästan lika varierat som själva appernas natur. InputScope hittade en hel del hårdkodade lösenord och hemliga nycklar i många applikationer som låser upp olika dolda resurser.
I vissa fall öppnade de felsökningsmenyer som överförts från utvecklingsstadierna till produktionsappen genom misstag. Vissa appar kommer med hårkodade hemligheter som låser upp premiumfunktioner eller tar bort annonser. Mer oroande skulle de hemliga nycklarna som är inbäddade i nära 7 tusen av applikationerna ge angriparna tillgång till personuppgifter, som experterna klassificerar som beteende bakom dörren.
Detta är en allvarlig fråga, men tyvärr hanterades den inte så bra som den borde ha varit. Forskarna kontaktade utvecklarna av alla berörda appar, men tyvärr svarade inte några av dem. Vi bör inte glömma att vi talar om tusentals rader med kod. Fel är oundvikliga, och ibland är konsekvenserna ibland allvarliga. Den sorgliga delen är att ofta är det lite du kan göra för att skydda dig själv. Med det sagt, om du är mer försiktig med vad du installerar på din telefon, är det mer troligt att du undviker buggy-apparna.
