Stražnja vrata u 8,5% aplikacija na mobitelima

Za ovu studiju, istraživački tim procijenio je 150.000 aplikacija: prvih 100.000 na temelju broja preuzimanja iz Google Play trgovine, prvih 20.000 s alternativnog tržišta i 30.000 iz unaprijed instaliranih aplikacija na Android pametnim telefonima.

12,706 tih aplikacija, (~ 8,5%), mogu pokrenuti da korisniku učine nešto nepoznato. Također su otkrili da se nekim aplikacijama može pristupiti udaljenim putem matičnih zaporki radi otkrivanja podataka unutar njih, a neke su aplikacije, kako su otkrili, imale tajne pristupne ključeve koji bi mogli pokrenuti skrivene opcije, uključujući zaobilaženje plaćanja.

“I korisnici i programeri su u opasnosti ako je loš momak nabavio ove tajne”, rekao je Lin, objašnjavajući da napadači mogu zamijeniti ove aplikacije kako bi pronašli ključeve.

Suradnik istraživača Qingchuan Zhao rekao je da programeri često pogrešno pretpostavljaju da obrnuto inženjering njihovih aplikacija nije legitimna prijetnja.

“Ključni razlog zašto mobilne aplikacije sadrže ove tajne u pozadini je taj što su programeri izgubili povjerenje”, rekao je Zhao. Kako bi uistinu osigurali svoje aplikacije, rekao je, programeri moraju izvršiti provjere unosa koji se odnose na sigurnost i gurnuti njihove tajne na pozadinske poslužitelje.

Još 4.028 aplikacija (~ 2.7%) bilo je namijenjeno blokiranju sadržaja koji sadrži određene ključne riječi podložne cenzuri, cyber maltretiranju ili diskriminaciji. Ali iznenađujući način na koji su to učinili: provjeravali su lokalno umjesto daljinski, rekla je Lin. “Na mnogim platformama sadržaj koji generira korisnik može se moderirati ili filtrirati prije objavljivanja”, rekao je – web-lokacije društvenih medija, uključujući Facebook, Instagram i Tumblr, ograničavaju korisnike sadržaja koji mogu objavljivati ​​na tim platformama.

“Nažalost, mogu postojati problemi. Na primjer, korisnici znaju da su određene riječi zabranjene u politici platforme, ali nisu svjesni primjera riječi koje se smatraju zabranjenim riječima i mogu rezultirati blokiranjem sadržaja bez znanja korisnika “, rekao je Zhao. “Stoga krajnji korisnici žele pojasniti nejasne politike sadržaja sadržaja videći primjere zabranjenih riječi.” Uz to, rekao je, istraživači koji proučavaju cenzuru možda žele razumjeti koji se pojmovi smatraju osjetljivim.
Tim je razvio alat otvorenog koda, nazvan InputScope, kako bi pomogao programerima da razumiju slabosti u njihovim aplikacijama i da pokažu da se postupak obrnutog inženjeringa može u potpunosti automatizirati.

Ohio State surađivao je sa Sveučilištem New York i njemačkim centrom za informacijsku sigurnost CISPA Helmholtz. Studija je prihvaćena na IEEE simpoziju o sigurnosti i privatnosti u svibnju, sada on-line konferenciji.

Advert

ESD namještaj