12,700種流行的Android應用程序中的錯誤暴露了硬編碼的密碼,隱藏的菜單和安全後門,新的研究發現
如果沒有移動應用程序,您的智能設備無非就是一部昂貴的功能手機,它帶有大觸摸屏顯示屏,並且電池壽命很長。我們將移動應用程序用於各種目的,並且不斷尋找新的應用程序,這些應用程序可以幫助我們度過工作日或在工作結束後保持娛樂。容易忘記這些應用程序是由犯錯誤的真實人類創建的。 最近的研究論文顯示了這些錯誤的發生頻率。
Table of Contents
本實驗
軟件錯誤的問題在於通常很難找到它們。如果專家需要逐個手動對應用程序進行逆向工程,那麼大規模研究實際上是不可行的,這就是為什麼俄亥俄州立大學,紐約大學和CISPA亥姆霍茲信息安全中心的一組研究人員開發了一種名為InputScope,他們用來分析總共15萬個Android應用程序。 InputScope旨在自動發現應用程序代碼中的錯誤,並且專家對高影響力的錯誤感興趣,這就是為什麼他們選擇了一些最受歡迎的Android應用程序的原因。
他們按安裝次數對應用程序進行排名,並從Google Play獲得了前10萬個免費應用程序,並從百度市場獲得了前2萬個免費應用程序。它們還包括三星移動設備上總共3萬個預安裝的應用程序版本。
顯然,不可能真正找到15萬個移動應用程序中的所有錯誤。專家們專注於某些用戶輸入會導致意外或未記錄行為的錯誤。
結果
發現符合該法案的申請高達12,706個,研究人員團隊將這種情況視為“關注”。這不足為奇。別忘了我們正在談論的是數百萬人使用的應用程序。每十個中就有近一個帶有一個錯誤,我們將在一分鐘內發現該錯誤有時可能非常嚴重。
更重要的是,儘管實驗著重於Android應用程序,但一些測試對象與iOS等效者共享其代碼庫,這意味著更多的用戶可能會受到影響。
後果
應用程序演示的意外行為的性質幾乎與應用程序本身的性質一樣多變。 InputScope在許多可解鎖各種隱藏資源的應用程序中找到了不少硬編碼的密碼和秘密密鑰。
在某些情況下,他們會錯誤打開從開發階段轉移到生產應用程序的調試菜單。某些應用會附帶硬編碼的機密,以解鎖高級功能或刪除廣告。更令人擔憂的是,將近7,000種應用程序中嵌入的秘密密鑰將使攻擊者能夠訪問個人數據,專家將其歸類為“後門生活”行為。
這是一個嚴重的問題,但是不幸的是,它沒有得到應有的處理。研究人員聯繫了所有受影響的應用程序的開發人員,但不幸的是,其中一些沒有響應。我們不應忘記我們正在談論數千行代碼。錯誤是不可避免的,不幸的是,有時後果很嚴重。可悲的是,通常情況下,您無能為力。話雖這麼說,如果您對手機上的安裝內容更加謹慎,則您更有可能避免使用有問題的應用程序。
