um grande número de aplicativos de celular contém segredos hardcoded que permitem que outros acessem dados privados, de acordo com um estudo que pode levar a novas medidas para melhorar a cibersegurança do smartphone.
de acordo com o estudo, Aceito para publicação pelo Simpósio IEEE 2020 sobre Segurança e Privacidade, aplicativos em telefones celulares podem ter comportamentos ocultos ou prejudiciais sobre os quais os usuários finais sabem pouco a nada.Pesquisadores, incluindo Zhiqiang Lin da Universidade do Estado de Ohio nos EUA, disseram que os aplicativos móveis geralmente se envolvem com usuários processando e respondendo à entrada do Usuário.
citando exemplos, Lin disse, para pedir uma ação em seus telefones, os usuários muitas vezes precisam digitar certas palavras ou frases, ou clicar em botões, e telas de slide.
no estudo, os pesquisadores avaliaram 150 mil aplicativos: 1 milhão com base no número de downloads da Google Play store, o top 20 mil de um mercado alternativo, e 30 mil de aplicativos pré-instalados em smartphones Android.
eles descobriram que 12.706 desses aplicativos continha algo que os cientistas chamavam de “segredos ocultos” — comportamentos escondidos dentro do aplicativo que aceitam certos tipos de conteúdo para desencadear comportamentos desconhecidos para os usuários regulares.
os pesquisadores também descobriram que alguns aplicativos têm incorporado “senhas mestre”, que permitem que qualquer pessoa com essa senha para acessar o aplicativo, e quaisquer dados privados contidos nele.
e alguns aplicativos, segundo eles, tinham chaves de acesso secretas que poderiam desencadear opções escondidas, incluindo contornar o pagamento.
“ambos os usuários e desenvolvedores estão todos em risco se um cara ruim obteve estes ‘segredos de backdoor'”, disse Lin.
agressores motivados poderiam reverter os aplicativos móveis para descobri-los, acrescentou.Os desenvolvedores muitas vezes erroneamente assumem que a engenharia reversa de seus aplicativos não é uma ameaça legítima, acrescentou Qingchuan Zhao, outro co-autor do estudo da Universidade do Estado de Ohio.
” a principal razão pela qual os aplicativos móveis contêm esses ‘segredos de backdoor’ é porque os desenvolvedores perderam a confiança”, disse Zhao.
para realmente proteger seus aplicativos, Ele disse, os desenvolvedores precisam realizar validações de entrada de dados relevantes para a segurança e empurrar seus segredos nos servidores de infra-estrutura.Facebook, Instagram e Tumblr já limitam os usuários de conteúdo a serem autorizados a publicar nessas plataformas .
“infelizmente, pode haver problemas — por exemplo, os usuários sabem que certas palavras são proibidas da Política de uma plataforma, mas eles não têm conhecimento de exemplos de palavras que são consideradas palavras proibidas e podem resultar em conteúdo bloqueado sem o conhecimento dos usuários”, disse ele.
“portanto, os usuários finais podem desejar clarificar Políticas vagas de conteúdo de plataforma, vendo exemplos de Palavras proibidas”, acrescentou Zhao.