Eine große Anzahl von Handy-Anwendungen enthalten fest codierte Geheimnisse, die anderen den Zugriff auf private Daten ermöglichen, so eine Studie, die zu neuen Maßnahmen zur Verbesserung der Smartphone-Cybersicherheit führen könnte.
Laut der Studie, die vom IEEE Symposium on Security and Privacy 2020 zur Veröffentlichung angenommen wurde, können Apps auf Mobiltelefonen versteckte oder schädliche Verhaltensweisen aufweisen, über die Endbenutzer wenig bis gar nichts wissen.
Forscher, darunter Zhiqiang Lin von der Ohio State University in den USA, sagten, dass mobile Apps im Allgemeinen mit Benutzern interagieren, indem sie Benutzereingaben verarbeiten und darauf reagieren.
Unter Berufung auf Beispiele, sagte Lin, um eine Aktion auf ihren Handys zu veranlassen, müssen Benutzer oft bestimmte Wörter oder Sätze eingeben oder auf Schaltflächen klicken und Bildschirme schieben.
In der Studie bewerteten die Forscher 150.000 Apps: 1.00.000 basierend auf der Anzahl der Downloads aus dem Google Play Store, die Top 20.000 aus einem alternativen Markt und 30.000 aus vorinstallierten Apps auf Android-Smartphones.
Sie fanden heraus, dass 12.706 dieser Apps etwas enthielten, das die Wissenschaftler „Backdoor Secrets“ nannten – versteckte Verhaltensweisen innerhalb der App, die bestimmte Arten von Inhalten akzeptieren, um Verhaltensweisen auszulösen, die normalen Benutzern unbekannt sind.
Die Forscher fanden auch heraus, dass einige Apps integrierte „Master-Passwörter“ haben, die es jedem mit diesem Passwort ermöglichen, auf die App und alle darin enthaltenen privaten Daten zuzugreifen.
Und einige Apps hätten geheime Zugriffsschlüssel, die versteckte Optionen auslösen könnten, einschließlich der Umgehung der Zahlung.
„Sowohl Benutzer als auch Entwickler sind gefährdet, wenn ein Bösewicht diese „Backdoor-Geheimnisse“ erhalten hat“, sagte Lin.
Motivierte Angreifer könnten die mobilen Apps zurückentwickeln, um sie zu entdecken, fügte er hinzu.
Entwickler gehen oft fälschlicherweise davon aus, dass das Reverse Engineering ihrer Apps keine legitime Bedrohung darstellt, fügte Qingchuan Zhao, ein weiterer Co-Autor der Studie von der Ohio State University, hinzu.
„Ein Hauptgrund, warum mobile Apps diese „Backdoor-Geheimnisse“ enthalten, ist, dass Entwickler das Vertrauen verlegt haben“, sagte Zhao.
Um ihre Apps wirklich zu sichern, müssen Entwickler sicherheitsrelevante Benutzereingaben validieren und ihre Geheimnisse auf die Backend-Server übertragen.Facebook Instagram
„Auf vielen Plattformen können nutzergenerierte Inhalte moderiert oder gefiltert werden, bevor sie veröffentlicht werden“, sagte Zhao und fügte hinzu, dass mehrere Social-Media-Sites, darunter Facebook, Instagram und Tumblr, die Inhalte, die Nutzer auf diesen Plattformen veröffentlichen dürfen, bereits einschränken.
„Leider könnte es Probleme geben – zum Beispiel wissen Benutzer, dass bestimmte Wörter aus der Richtlinie einer Plattform verboten sind, aber sie kennen keine Beispiele für Wörter, die als verbotene Wörter gelten und dazu führen könnten, dass Inhalte ohne Wissen der Benutzer blockiert werden“, sagte er.
„Daher möchten Endbenutzer möglicherweise vage Richtlinien für Plattforminhalte klären, indem sie Beispiele für verbotene Wörter sehen“, fügte Zhao hinzu.