网络安全研究人员发现,大量的手机应用程序包含一些用户不知道的硬件编码,能够允许其他人访问用户的私人数据或屏蔽用户所提供的内容。手机上的应用程序可能具有隐藏或有害的行为,且用户对此一无所知。
研究团队评估了150 000个应用程序——从Google Play商店选择下载次数排名前100 000个应用,从安卓智能手机预安装的应用中选择30 000个应用,从其他市场选择20 000个应用。这些应用程序中有12 706个(约占8.5%)有“后门机密”,即存在应用程序内的隐藏行为,它们接受某些类型的内容会触发用户未知的行为;某些应用程序具有内置的“主密码”,使用该密码的任何人都可以访问该应用程序以及其中包含的任何私人数据;某些应用程序具有访问密钥,这些密钥可能触发隐藏的操作,包括绕过付款等。实际上,有动机的攻击者对移动应用进行反向工程就能很容易地发现这些安全漏洞。移动应用程序包含这些“后门秘密”的关键原因在于开发时的信任关系。要真正保护其应用程序的安全,开发人员需要执行与安全性相关的用户输入验证,并将其机密信息推送到后端服务器上。
该团队还发现了另外4 028个应用程序(约占2.7%)阻止了包含受审查、网络欺凌或歧视等特定主题关键字的内容。应用程序限制某些类型的内容是不足为奇的,许多平台(如Facebook、Instagram和Tumblr等)都会对用户生成内容进行发布前的审核或过滤。但是,这些应用程序的处理方式是在本地而非远程进行验证。这样做可能会存在问题,例如,用户知道存在敏感词问题,但是他们并不知道具体哪些是敏感词。因此,最终用户可能希望通过查看敏感词示例进一步明确平台内容政策。
该团队开发了一个名为InputScope的开源工具,可以帮助开发人员发现其应用程序中的问题。
(编译自:https://www.sciencedaily.com/releases/2020/03/200331130057.htm)
(本刊讯)
|