een groot aantal mobiele telefoon applicaties bevatten hardcoded secrets waardoor anderen toegang krijgen tot persoonlijke gegevens, volgens een studie die kan leiden tot nieuwe maatregelen om de cyberveiligheid van smartphones te verbeteren.
volgens de studie, die is aanvaard voor publicatie door het IEEE Symposium over veiligheid en Privacy in 2020, kunnen apps op mobiele telefoons verborgen of schadelijk gedrag vertonen waarover eindgebruikers weinig tot niets weten.
onderzoekers, waaronder Zhiqiang Lin van de Ohio State University in de VS, zeiden dat mobiele apps over het algemeen te maken hebben met gebruikers door het verwerken en reageren op input van de gebruiker.
voorbeelden citeren, zei Lin, om een actie op hun telefoons te vragen, moeten gebruikers vaak bepaalde woorden of zinnen typen, of op knoppen en schuifschermen klikken.
in de studie evalueerden de onderzoekers 150.000 apps: 1.00.000 gebaseerd op het aantal downloads uit de Google Play store, de top 20.000 van een alternatieve markt, en 30.000 van vooraf geïnstalleerde apps op Android-smartphones.
ze vonden dat 12.706 van die apps iets bevatten dat de wetenschappers “backdoor secrets” noemden — verborgen gedragingen binnen de app die bepaalde soorten inhoud accepteren om gedrag te activeren dat niet bekend is bij reguliere gebruikers.
de onderzoekers vonden ook dat sommige apps ingebouwde “master passwords” hebben, waarmee iedereen met dat wachtwoord toegang heeft tot de app, en alle privégegevens die erin zitten.
en sommige apps, zeiden ze, hadden geheime toegangssleutels die verborgen opties kunnen activeren, waaronder het omzeilen van betaling.
” zowel gebruikers als ontwikkelaars zijn allemaal in gevaar als een slechterik deze ‘backdoor secrets’ heeft verkregen, ” zei Lin.
gemotiveerde aanvallers konden de mobiele apps reverse engineeren om ze te ontdekken, voegde hij eraan toe.
ontwikkelaars gaan er vaak ten onrechte van uit dat reverse engineering van hun apps geen legitieme bedreiging is, aldus Qingchuan Zhao, een andere coauteur van de studie van de Ohio State University.
” een belangrijke reden waarom mobiele apps bevatten deze ‘backdoor secrets’ is omdat ontwikkelaars misplaatst het vertrouwen, ” Zhao zei.
om hun apps echt te beveiligen, zei hij, moeten ontwikkelaars beveiligingsrelevante gebruikersinvoervalidaties uitvoeren en hun geheimen op de backend-servers duwen.Instagram en Tumblr:” op veel platforms kan door gebruikers gegenereerde inhoud gemodereerd of gefilterd worden voordat deze gepubliceerd wordt, ” zei Zhao, en voegde eraan toe dat verschillende sociale media sites, waaronder Facebook, Instagram en Tumblr, al de inhoud beperken die gebruikers mogen publiceren op die platforms.
” helaas kunnen er problemen bestaan — bijvoorbeeld, gebruikers weten dat bepaalde woorden verboden zijn uit het beleid van een platform, maar ze zijn zich niet bewust van voorbeelden van woorden die worden beschouwd als verboden woorden en kunnen leiden tot inhoud wordt geblokkeerd zonder medeweten van de gebruikers,” zei hij.
“daarom kunnen eindgebruikers vaag platform inhoud beleid willen verduidelijken door het zien van voorbeelden van Verboden Woorden,” Zhao toegevoegd.