12,700种流行的Android应用程序中的错误暴露了硬编码的密码,隐藏的菜单和安全后门,新的研究发现
如果没有移动应用程序,您的智能设备无非就是一部昂贵的功能手机,它带有大触摸屏显示屏,并且电池寿命很长。我们将移动应用程序用于各种目的,并且不断寻找新的应用程序,这些应用程序可以帮助我们度过工作日或在工作结束后保持娱乐。容易忘记这些应用程序是由犯错误的真实人类创建的。 最近的研究论文显示了这些错误的发生频率。
Table of Contents
本实验
软件错误的问题在于通常很难找到它们。如果专家需要逐个手动对应用程序进行逆向工程,那么大规模研究实际上是不可行的,这就是为什么俄亥俄州立大学,纽约大学和CISPA亥姆霍兹信息安全中心的一组研究人员开发了一种名为InputScope,他们用来分析总共15万个Android应用程序。 InputScope旨在自动发现应用程序代码中的错误,并且专家对高影响力的错误感兴趣,这就是为什么他们选择了一些最受欢迎的Android应用程序的原因。
他们按安装次数对应用程序进行排名,并从Google Play获得了前10万个免费应用程序,并从百度市场获得了前2万个免费应用程序。它们还包括三星移动设备上总共3万个预安装的应用程序版本。
显然,不可能真正找到15万个移动应用程序中的所有错误。专家们专注于某些用户输入会导致意外或未记录行为的错误。
结果
发现符合该法案的申请高达12,706个,研究人员团队将这种情况视为“关注”。这不足为奇。别忘了我们在谈论数以百万计的人使用的应用程序。每十个中就有近一个带有一个错误,我们将在一分钟内发现该错误有时可能非常严重。
更重要的是,尽管实验着重于Android应用程序,但一些测试对象与iOS等效者共享其代码库,这意味着更多的用户可能会受到影响。
后果
应用程序演示的意外行为的性质几乎与应用程序本身的性质一样多变。 InputScope在许多可解锁各种隐藏资源的应用程序中找到了不少硬编码的密码和秘密密钥。
在某些情况下,他们会错误打开从开发阶段转移到生产应用程序的调试菜单。某些应用会附带硬编码的机密,以解锁高级功能或删除广告。更令人担忧的是,将近7,000种应用程序中嵌入的秘密密钥将使攻击者能够访问个人数据,专家将其归类为“后门生活”行为。
这是一个严重的问题,但是不幸的是,它没有得到应有的处理。研究人员联系了所有受影响的应用程序的开发人员,但不幸的是,其中一些没有响应。我们不应忘记我们正在谈论数千行代码。错误是不可避免的,不幸的是,有时后果很严重。可悲的是,通常情况下,您无能为力。话虽这么说,如果您对手机上的安装内容更加谨慎,则您更有可能避免使用有问题的应用程序。
