В тысячах популярных Android-приложений найдены секретные опции
Группа исследователей кибербезопасности из Университета Огайо, Нью-Йоркского университета и Центра информационной безопасности им. Гельмгольца (CISPA) в Саарбрюкене (Германия) обнаружили, что большое количество мобильных приложений содержит недокументированные функции, открывающие посторонним доступ к приватным данным на сотовых телефонах или скрытно от пользователей блокирующих определенный контент.
В этой работе, которая должна быть представлена в мае на онлайновой конференции 2020 IEEE Symposium on Security and Privacy, ученые проанализировали методами обратной разработки 150 тысяч приложений для мобильной платформы Android. Из этого числа 100 тысяч составляли самые популярные (по количеству загрузок) предложения магазина Google Play, еще 20 тысяч были бестселлерами с других торговых площадок, а оставшиеся 30 тысяч входят в предустановленные пакеты на разных Android-смартфонах.
В 12706 программах, это примерно 8,5 процентов от общего количества, авторы нашли скрытое поведение, для активации которого требовались действия, неизвестные обычным пользователям. Ряд приложений имели встроенные "мастер-пароли" для доступа к самой программе и к любым используемым ею конфиденциальным данным. Некоторые секретные ключи включали недокументированные опции, например, позволяли обойти оплату.
Блокировка содержимого по определенным ключевым словам, связанным с цензурой, дискриминацией, издевательствами и пр., была найдена в 4028 программах (около 2,7%). В отличие от контентных фильтров соцсетей, таких как Facebook, Instagram или Tumblr, в этих случаях блокировка была реализована локально и не сопровождалась доступными для пользователей образцами запрещенных слов.
Авторы создали инструмент с открытым кодом, InputScope, который должен помочь разработчикам выявлять уязвимости в своих приложениях. Кроме того, он призван продемонстрировать, что процесс обратной разработки можно полностью автоматизировать, в том числе и преследуя преступные цели.