Un gran numero di applicazioni di telefonia cellulare contengono segreti hardcoded permettendo ad altri di accedere ai dati privati, secondo uno studio che può portare a nuove misure per migliorare la sicurezza informatica smartphone.
Secondo lo studio, accettato per la pubblicazione dal 2020 IEEE Symposium on Security and Privacy, le app sui telefoni cellulari potrebbero avere comportamenti nascosti o dannosi di cui gli utenti finali sanno poco o nulla.
I ricercatori, tra cui Zhiqiang Lin della Ohio State University negli Stati Uniti, hanno affermato che le app mobili generalmente interagiscono con gli utenti elaborando e rispondendo all’input dell’utente.
Citando esempi, Lin ha detto, per richiedere un’azione sui loro telefoni, gli utenti spesso hanno bisogno di digitare determinate parole o frasi, o fare clic sui pulsanti e scorrere le schermate.
Nello studio, i ricercatori hanno valutato 150.000 app: 1.00.000 in base al numero di download dal Google Play Store, i primi 20.000 da un mercato alternativo e 30.000 da app preinstallate su smartphone Android.
Hanno scoperto che 12.706 di queste app contenevano qualcosa che gli scienziati chiamavano “segreti backdoor” – comportamenti nascosti all’interno dell’app che accettano determinati tipi di contenuti per innescare comportamenti sconosciuti agli utenti regolari.
I ricercatori hanno anche scoperto che alcune app hanno “password master” integrate, che consentono a chiunque abbia quella password di accedere all’app e a tutti i dati privati contenuti al suo interno.
E alcune app, hanno detto, avevano chiavi di accesso segrete che potevano attivare opzioni nascoste, incluso il pagamento aggirato.
” Sia gli utenti che gli sviluppatori sono tutti a rischio se un cattivo ragazzo ha ottenuto questi ‘segreti backdoor'”, ha detto Lin.
Gli aggressori motivati potrebbero decodificare le app mobili per scoprirle, ha aggiunto.
Gli sviluppatori spesso assumono erroneamente il reverse engineering delle loro app non è una minaccia legittima, ha aggiunto Qingchuan Zhao, un altro coautore dello studio della Ohio State University.
“Un motivo chiave per cui le app mobili contengono questi” segreti backdoor “è perché gli sviluppatori hanno smarrito la fiducia”, ha detto Zhao.
Per proteggere veramente le loro app, ha detto, gli sviluppatori devono eseguire convalide di input utente rilevanti per la sicurezza e spingere i loro segreti sui server back-end.
“Su molte piattaforme, i contenuti generati dagli utenti possono essere moderati o filtrati prima che vengano pubblicati”, ha detto Zhao, aggiungendo che diversi siti di social media, tra cui Facebook, Instagram e Tumblr, limitano già i contenuti che gli utenti possono pubblicare su tali piattaforme.
“Sfortunatamente, potrebbero esistere problemi for ad esempio, gli utenti sanno che alcune parole sono proibite dalla politica di una piattaforma, ma non sono a conoscenza di esempi di parole che sono considerate parole vietate e potrebbero causare il blocco dei contenuti senza la conoscenza degli utenti”, ha affermato.
“Pertanto, gli utenti finali potrebbero voler chiarire vaghe politiche sui contenuti della piattaforma vedendo esempi di parole vietate”, ha aggiunto Zhao.