Выводы исследования: приложения на мобильных телефонах могут иметь скрытое или вредоносное поведение, о котором конечные пользователи почти ничего не знают, – сказал Чжицян Линь, доцент кафедры информатики и инженерии в Государственном университете Огайо и старший автор исследования.
Исследование было принято к публикации на симпозиуме IEEE по безопасности и конфиденциальности 2020 г., который состоится в мае.
Конференция переехала в онлайн из-за глобальной вспышки коронавируса (COVID-19).
Как правило, мобильные приложения взаимодействуют с пользователями, обрабатывая вводимые пользователем данные и отвечая на них, сказал Лин. Например, пользователям часто нужно вводить определенные слова или предложения или нажимать кнопки и слайд-экраны.
Эти входные данные побуждают приложение выполнять различные действия.
Для этого исследования исследовательская группа оценила 150 000 приложений. Они выбрали 100 000 лучших на основе количества загрузок из магазина Google Play, 20 000 лучших с альтернативного рынка и 30 000 из предустановленных приложений на смартфонах Android.
Они обнаружили, что 12706 из этих приложений, около 8.5 процентов, содержали то, что исследовательская группа назвала «секретами бэкдора» – скрытое поведение в приложении, которое принимает определенные типы контента, чтобы вызвать поведение, неизвестное обычным пользователям. Они также обнаружили, что некоторые приложения имеют встроенные «мастер-пароли», которые позволяют любому, у кого есть этот пароль, получить доступ к приложению и любым личным данным, содержащимся в нем. И они обнаружили, что у некоторых приложений есть секретные ключи доступа, которые могут запускать скрытые функции, в том числе обход платежа.
«И пользователи, и разработчики подвергаются риску, если злоумышленник получит эти« секреты бэкдора », – сказал Линь. На самом деле, сказал он, мотивированные злоумышленники могут перепроектировать мобильные приложения, чтобы обнаружить их.
Цинчуань Чжао, научный сотрудник штата Огайо и ведущий автор этого исследования, сказал, что разработчики часто ошибочно полагают, что обратная инженерия их приложений не является законной угрозой.
«Основная причина, по которой мобильные приложения содержат эти« секреты бэкдора », заключается в том, что разработчики потеряли доверие», – сказал Чжао.
По его словам, чтобы по-настоящему обезопасить свои приложения, разработчикам необходимо проводить валидацию пользовательского ввода, относящуюся к безопасности, и передавать свои секреты на внутренние серверы.
Команда также нашла еще 4028 приложений – около 2.7 процентов – заблокированный контент, содержащий определенные ключевые слова, подвергающийся цензуре, кибер-издевательствам или дискриминации.
То, что приложения могут ограничивать определенные типы контента, неудивительно, но способ, которым они это делали: проверяется локально, а не удаленно, сказал Лин.
«На многих платформах пользовательский контент может быть модерирован или отфильтрован перед публикацией», – сказал он, отметив, что несколько сайтов социальных сетей, включая Facebook, Instagram и Tumblr, уже ограничивают контент, который пользователям разрешено публиковать на этих платформах.
«К сожалению, могут существовать проблемы – например, пользователи знают, что определенные слова запрещены политикой платформы, но им неизвестны примеры слов, которые считаются запрещенными словами и могут привести к блокировке контента без ведома пользователей, " он сказал. "Таким образом, конечные пользователи могут пожелать пояснить расплывчатую политику в отношении контента платформы, увидев примеры запрещенных слов."
Кроме того, по его словам, исследователи, изучающие цензуру, могут захотеть понять, какие термины считаются конфиденциальными. Команда разработала инструмент с открытым исходным кодом под названием InputScope, чтобы помочь разработчикам понять слабые места в своих приложениях и продемонстрировать, что процесс обратного проектирования можно полностью автоматизировать.