et stort antal mobiltelefonapplikationer indeholder hardkodede hemmeligheder, der giver andre adgang til private data, ifølge en undersøgelse, der kan føre til nye foranstaltninger til forbedring af smartphone-cybersikkerhed.
ifølge undersøgelsen, der blev accepteret til offentliggørelse af IEEE-symposiet i 2020 om sikkerhed og privatliv, kan apps på mobiltelefoner have skjult eller skadelig adfærd, som slutbrugere ved lidt eller intet om.
forskere, herunder Lin fra Ohio State University i USA, sagde mobile apps generelt engagere sig med brugere ved at behandle og reagere på brugerinput.
citerer eksempler, sagde Lin, for at bede om en handling på deres telefoner, skal brugerne ofte skrive bestemte ord eller sætninger eller klikke på knapper og glideskærme.
i undersøgelsen vurderede forskerne 150.000 apps: 1.00.000 baseret på antallet af overførsler fra Google Play Butik, de 20.000 fra et alternativt marked og 30.000 fra forudinstallerede apps på Android-smartphones.
de fandt ud af, at 12.706 af disse apps indeholdt noget, som forskerne kaldte “bagdørshemmeligheder” – skjult adfærd i appen, der accepterer visse typer indhold for at udløse adfærd, der er ukendt for almindelige brugere.
forskerne fandt også, at nogle apps har indbyggede “masteradgangskoder”, som giver alle med denne adgangskode adgang til appen og eventuelle private data indeholdt i den.
og nogle apps, sagde de, havde hemmelige adgangsnøgler, der kunne udløse skjulte muligheder, herunder omgå betaling.
“både brugere og udviklere er alle i fare, hvis en dårlig fyr har fået disse “bagdørshemmeligheder”, sagde Lin.
motiverede angribere kunne reverse engineering mobile apps til at opdage dem, tilføjede han.
udviklere antager ofte fejlagtigt, at reverse engineering af deres apps ikke er en legitim trussel.
” en vigtig årsag til, at mobilapps indeholder disse ‘bagdørshemmeligheder’, er, at udviklere har mistet tilliden, ” sagde han.
for virkelig at sikre deres apps, sagde han, skal udviklere udføre sikkerhedsrelevante brugerinputvalideringer og skubbe deres hemmeligheder på backend-serverne.”På mange platforme kan brugergenereret indhold modereres eller filtreres, før det offentliggøres,” sagde han og tilføjede, at flere sociale mediesider, herunder Facebook, Instagram og Tumblr, allerede begrænser det indhold, som brugerne har tilladelse til at offentliggøre på disse platforme.
“desværre kan der være problemer-for eksempel ved brugerne, at visse ord er forbudt fra en platforms politik, men de er uvidende om eksempler på ord, der betragtes som forbudte ord og kan resultere i, at indhold blokeres uden brugernes viden,” sagde han.
“derfor kan slutbrugere ønske at afklare vage platformindholdspolitikker ved at se eksempler på forbudte ord,” tilføjede han.