suuri määrä kännykkäsovelluksia sisältää kovakoodattuja salaisuuksia, joiden avulla muut pääsevät käsiksi yksityisiin tietoihin, kertoo tutkimus, joka saattaa johtaa uusiin toimenpiteisiin älypuhelinten kyberturvallisuuden parantamiseksi.
tutkimuksen mukaan, jonka 2020 IEEE Symposium on Security and Privacy hyväksyi julkaistavaksi, matkapuhelinten sovelluksissa voi olla piileviä tai haitallisia käyttäytymismalleja, joista loppukäyttäjät eivät tiedä juuri mitään.
tutkijat, mukaan lukien Zhiqiang Lin Ohion osavaltionyliopistosta Yhdysvalloista, sanoivat mobiilisovellusten yleensä sitoutuvan käyttäjiin käsittelemällä ja vastaamalla käyttäjän syötteeseen.
esimerkkejä lainaten Lin sanoi, että kehottaakseen toimimaan puhelimissaan käyttäjien on usein kirjoitettava tiettyjä sanoja tai lauseita tai napsautettava painikkeita ja dianäyttöjä.
tutkimuksessa tutkijat arvioivat 150 000 sovellusta: 100 000 Google Play-kaupasta ladattavien latausten määrän perusteella, 20 000 vaihtoehtoiselta markkinoilta ja 30 000 Android-älypuhelimiin valmiiksi asennettujen sovellusten perusteella.
he havaitsivat, että 12 706 näistä sovelluksista sisälsi jotain, mitä tutkijat kutsuivat ”takaovisalaisuuksiksi” – piilokäyttäytymistä sovelluksessa, joka hyväksyy tietyntyyppisen sisällön laukaisemaan käyttäytymistä, jota tavalliset käyttäjät eivät tunne.
tutkijat havaitsivat myös, että joissakin sovelluksissa on sisäänrakennetut ”pääsalasanat”, joiden avulla kuka tahansa kyseisen salasanan omaava voi käyttää sovellusta ja mitä tahansa sen sisältämää yksityistä tietoa.
ja joissakin sovelluksissa oli heidän mukaansa salaiset pääsyavaimet, jotka saattoivat laukaista piilovaihtoehtoja, kuten maksamisen ohittamisen.
”sekä käyttäjät että kehittäjät ovat kaikki vaarassa, jos pahis on saanut nämä ’takaovisalaisuudet'”, Lin sanoi.
motivoituneet hyökkääjät voisivat kääntää mobiilisovelluksia löytääkseen ne, hän lisäsi.
Kehittäjät olettavat usein virheellisesti, että sovellustensa käänteistekniikka ei ole oikeutettu uhka, lisäsi Qingchuan Zhao, toinen tutkimuksen tekijöistä Ohion osavaltionyliopistosta.
”keskeinen syy, miksi mobiilisovellukset sisältävät näitä” takaovisalaisuuksia”, on se, että kehittäjät ovat hukanneet luottamuksen”, Zhao sanoi.
suojatakseen sovelluksensa todella, kehittäjien on hänen mukaansa tehtävä tietoturvaan liittyviä käyttäjän syötteen validointeja ja tyrkytettävä salaisuuksiaan taustapalvelimille.
”monilla alustoilla käyttäjien luomaa sisältöä voidaan moderoida tai suodattaa ennen sen julkaisemista”, Zhao sanoi lisäten, että useat sosiaalisen median sivustot, kuten Facebook, Instagram ja Tumblr, rajoittavat jo sisältöä, jota käyttäjät saavat julkaista kyseisillä alustoilla.
”valitettavasti saattaa olla ongelmia — esimerkiksi käyttäjät tietävät, että tietyt sanat on kielletty Alustan politiikasta, mutta he eivät tiedä esimerkkejä sanoista, joita pidetään kiellettyinä sanoina ja jotka voivat johtaa sisällön estämiseen käyttäjien tietämättä”, hän sanoi.
”siksi loppukäyttäjät saattavat haluta selventää epämääräisiä alustasisältöpolitiikkoja näkemällä esimerkkejä kielletyistä sanoista”, Zhao lisäsi.