velké množství aplikací mobilních telefonů obsahují napevno tajemství, který umožňuje ostatním přístup k soukromým datům, podle studie, která může vést k nové opatření ke zlepšení smartphone kybernetické bezpečnosti.
Podle studie, přijaty k publikaci v roce 2020 IEEE Symposium o Bezpečnosti a Soukromí, aplikace na mobilních telefonech mohou mít skryté nebo škodlivé chování, o které koncoví uživatelé znát trochu na nic.
Výzkumných pracovníků, včetně Lin Zhiqiang z Ohio State University v USA, řekl, že mobilní aplikace obecně zapojit se s uživateli o zpracování a reagovat na vstup uživatele.
citovat příklady, Lin řekl, vyzvat akci na svých telefonech, uživatelé často potřebují zadat určitá slova nebo věty, nebo klepněte na tlačítka, a slide obrazovky.
Ve studii, vědci hodnoceny 150.000 aplikací: 1,00,000 na základě počtu stažení z Google Play store, top 20.000 z alternativního trhu, a 30.000 z pre-nainstalovaných aplikací na Android smartphony.
zjistili, že 12,706 z těch aplikací, obsažených něco, co vědci nazývají „backdoor tajemství“ – skryté chování v rámci aplikace, které přijímají určité typy obsahu, ke spuštění chování neznámý pro běžné uživatele.
vědci také zjistili, že některé aplikace mají vestavěná „hlavní hesla“, která umožňují komukoli s tímto heslem přístup k aplikaci a veškerá soukromá data v ní obsažená.
a některé aplikace měly tajné přístupové klíče, které by mohly vyvolat skryté možnosti, včetně obcházení platby.
„uživatelé i vývojáři jsou ohroženi, pokud špatný člověk získal tato „backdoor tajemství“, “ řekl Lin.
motivovaní útočníci by mohli zpětně analyzovat mobilní aplikace, aby je objevili, dodal.
Vývojáři často mylně předpokládají, reverse engineering jejich aplikace není legitimní hrozbu, dodal Qingchuan Zhao, další spoluautor studie z Ohio State University.
„klíčovým důvodem, proč mobilní aplikace obsahují tato „backdoor tajemství“, je to, že vývojáři ztratili důvěru, “ řekl Zhao.
Chcete-li skutečně zabezpečit své aplikace, řekl, vývojáři musí provést ověření vstupu uživatele související s bezpečností a tlačit svá tajemství na backend serverech.
„Na mnoho platforem, uživatelsky generovaný obsah může být moderované, nebo filtrován před tím, než je publikován,“ Zhao řekl, a dodal, že několik sociálních médií stránky, včetně Facebook, Instagram a Tumblr, již omezit obsah, který uživatelé mohou uveřejňovat na těchto platformách.
„Bohužel, tam možná existují problémy-například, uživatelé vědí, že některá slova jsou zakázaná z platformy politiky, ale oni si nejsou vědomi příklady slov, která jsou považována za zakázaná slova, a může mít za následek obsah blokován bez vědomí uživatelů,“ řekl.
„koncoví uživatelé proto mohou chtít objasnit vágní zásady obsahu platformy tím, že uvidí příklady zakázaných slov,“ dodal Zhao.