Исследование: 12 700 Android-приложений имеют бэкдоры

Всестороннее академическое исследование, опубликованное на этой неделе, обнаружило в более чем 12 700 Android-приложениях скрытое поведение, такое как секретные ключи доступа, мастер-пароли и секретные команды.

Чтобы обнаружить это скрытое поведение, ученые из Европы и США разработали специальный инструмент под названием InputScope, который они использовали для анализа полей формы ввода, найденных в более чем 150 000 Android-приложениях.

Точнее, ученые проанализировали 100 000 приложений из Google Play (в зависимости от количества установок), 20 000 приложений, размещенных в сторонних магазинах приложений, и более 30 000 приложений, которые были предварительно установлены на смартфонах Samsung.

«Наша оценка выявила волнующую ситуацию», - говорят в исследовательской группе. «Мы определили 12 706 приложений, содержащих различные бэкдоры, такие как секретные ключи доступа, мастер-пароли и секретные команды».

Исследователи говорят, что эти скрытые механизмы бэкдора могут позволить злоумышленникам получить несанкционированный доступ к учетным записям пользователей. Кроме того, если злоумышленник имеет физический доступ к устройству и в нем установлено одно из этих приложений, он также может предоставить злоумышленникам доступ к смартфону или разрешить им запускать код на устройстве с повышенными привилегиями (из-за скрытых секретных команд, присутствующих в поле ввода приложения).

«Подобные случаи не являются гипотетическими», - говорят члены исследовательской группы, ссылаясь на один конкретный пример.

«Изучив несколько мобильных приложений вручную, мы обнаружили, что популярное приложение для удаленного управления (10 миллионов установок) содержит мастер-пароль, который может разблокировать доступ даже при удаленной блокировке владельцем смартфона в случае утери устройства», - говорят исследователи.

«Между тем, мы также обнаружили, что популярное приложение для блокировки экрана (5 миллионов установок) использует ключ доступа для сброса паролей произвольных пользователей, чтобы разблокировать экран и войти в систему. Кроме того, мы также обнаружили, что приложение для потокового вещания (5 миллионов установок) содержит ключ доступа для входа в интерфейс администратора, с помощью которого злоумышленник может перенастроить приложение и разблокировать дополнительные функции. Наконец, мы обнаружили, что популярное приложение для перевода (1 миллион установок) содержит секретный ключ для обхода оплаты за расширенные услуги, такие как удаление рекламы, отображаемой в приложении».

Here’s a real world example we were able to find. If you tap 13 times on the version number, you get a password prompt. Enter in the Konami Code, and you get a hidden debug menu! pic.twitter.com/ixOuz6vmib
— Brendan Dolan-Gavitt (@moyix) March 31, 2020

Как видно из примеров, предоставленных исследовательской группой, некоторые проблемы явно представляют угрозу безопасности пользователя и данных, хранящихся на устройстве, тогда как другие были просто безвредными пасхальными яйцами или функциями отладки, которые случайно запустили в продакшн.

В целом, исследователи заявили, что обнаружили более 6800 приложений со скрытыми бэкдорами / функциями в магазине Google Play, более 1000 в сторонних магазинах и почти 4800 приложений, которые были предварительно установлены на устройствах Samsung.

Исследовательская группа сообщила, что уведомила всех разработчиков приложений, в которых они обнаружили скрытое поведение или механизм, похожий на бэкдор. Однако не все разработчики приложений ответили.

Поскольку инструмент InputScore анализировал поля ввода в приложениях Android, побочным эффектом этого исследования было то, что академическая команда также обнаружила, какие приложения используют скрытые фильтры плохих слов или политически мотивированные черные списки. В целом, исследователи сообщают, что они нашли 4028 приложений для Android, которые имеют черные списки ввода.