一組研究人員發(fā)現(xiàn)�,成千上萬(wàn)的Android移動(dòng)應(yīng)用程序包含后門(mén)和黑名單等隱藏行為。
隨著智能手機(jī)已成為我們?nèi)粘I畹囊徊糠����,?shù)以百萬(wàn)計(jì)的應(yīng)用程序被用于各種各樣的活動(dòng),但其中許多活動(dòng)的行為從未向其用戶公開(kāi)�。
為了發(fā)現(xiàn)這種行為����,俄亥俄州立大學(xué)����,紐約大學(xué)和CISPA亥姆霍茲信息安全中心的研究人員提出了一種工具,該工具可以檢測(cè)“用戶輸入驗(yàn)證的執(zhí)行上下文以及驗(yàn)證所涉及的內(nèi)容”����。從而發(fā)現(xiàn)任何有趣的秘密。
然后����,該工具名為INPUTSCOPE,已通過(guò)Google Play上的150,000多種Android應(yīng)用程序(來(lái)自店面的前100,000種應(yīng)用程序)����,替代市場(chǎng)(20,000種)進(jìn)行了測(cè)試,并預(yù)先安裝在設(shè)備上(30,000種應(yīng)用程序從三星智能手機(jī)的固件中提�。 。
研究人員在其白皮書(shū)(PDF)中說(shuō):“我們發(fā)現(xiàn)����,移動(dòng)應(yīng)用程序中的輸入驗(yàn)證可用于暴露輸入觸發(fā)的機(jī)密(例如后門(mén)和黑名單機(jī)密),并且依賴(lài)于輸入的隱藏功能在Android應(yīng)用程序中非常普遍����!
該研究發(fā)現(xiàn)了12706個(gè)應(yīng)用程序(8.47%)具有后門(mén)機(jī)密(秘密訪問(wèn)密鑰�,主密碼和提供對(duì)僅管理員功能的訪問(wèn)權(quán)限的秘密命令),以及4028個(gè)應(yīng)用程序(2.69%)包含黑名單機(jī)密(它們將基于受到審查��,網(wǎng)絡(luò)欺凌或歧視的關(guān)鍵字)�����。
INPUTSCOPE揭示了訪問(wèn)密鑰��,這些訪問(wèn)密鑰可提供對(duì)應(yīng)用程序管理界面的訪問(wèn)(允許普通用戶無(wú)法使用的配置更改)�,允許恢復(fù)或重置普通用戶密碼或可用于購(gòu)買(mǎi)應(yīng)用內(nèi)高級(jí)服務(wù)的訪問(wèn)鍵免費(fèi)。
此外�����,研究還確定了數(shù)百個(gè)主密碼以及數(shù)千個(gè)應(yīng)用程序中的秘密命令����,包括用于調(diào)試和觸發(fā)普通用戶未知功能的命令�。
觀察到的黑名單以中文,英文和韓文為目標(biāo)內(nèi)容�,大小從10,000多個(gè)到列表中的7個(gè)不等���。
研究人員還注意到����,他們手動(dòng)驗(yàn)證了發(fā)現(xiàn)����,然后與應(yīng)用程序開(kāi)發(fā)人員聯(lián)系以披露已驗(yàn)證的問(wèn)題。但是��,到目前為止��,并不是所有的開(kāi)發(fā)人員都解決了這些問(wèn)題���。
研究人員指出:“ INPUTSCOPE確定的隱藏功能可能對(duì)應(yīng)用程序用戶或開(kāi)發(fā)人員造成嚴(yán)重后果��,這些應(yīng)用程序需要由應(yīng)用程序開(kāi)發(fā)人員修補(bǔ)���。”
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
