Zespół badaczy zajmujący się cyberbezpieczeństwem przeskanował 150 tysięcy aplikacji na Androida pod kątem obecności backdoorów oraz ukrytych funkcji. Wnioski są niepokojące, gdyż tego typu funkcjonalności odnaleziono w ponad 12 tysiącach aplikacji.
W badaniu przeprowadzonym wspólnie przez naukowców z Uniwersytetu Stanu Ohio, Uniwersytetu Nowojorskiego oraz CISPA Helmholtz Center for Information Security poddano analizie 100 tysięcy aplikacji ze Sklepu Google Play z najwyższą liczbą instalacji, 20 tysięcy aplikacji z alternatywnych sklepów oraz 30 tysięcy aplikacji preinstalowanych na urządzeniach firmy Samsung. W analizie posłużono się nowatorskim narzędziem InputScope, które analizowało automatycznie zachowania aplikacji w odpowiedzi na wprowadzane przez użytkowników dane.
Tryby serwisowe, sekretne opcje i hasła nadrzędne
Odkrycia zespołu mogą napawać niepokojem. Spośród przetestowanych aplikacji aż w 12,7 tysiącach znaleziono nieudokumentowane funkcje, spośród których wiele pozwalało na nieuprawniony dostęp do konta użytkownika. Mowa tu m.in. o trybach serwisowych, sekretnych opcjach czy hasłach nadrzędnych, o których istnieniu użytkownicy nie są informowani. Najwięcej tego typu odkryć, bo aż 6800, dokonano w aplikacjach dostępnych w Sklepie Google Play. Co więcej, często mówimy tu o programach z liczbą pobrań liczoną w milionach.
Jak uspokaja Kamil Sadkowski, starszy analityk zagrożeń w ESET, sam fakt posiadania tego typu funkcji przez aplikacje nie oznacza jeszcze, że mogą być one łatwo wykorzystane. Potencjalnie jednak mogą się stać poważnym zagrożeniem bezpieczeństwa np. w momencie utraty urządzenia.
- Skąd się biorą nieudokumentowane funkcje w aplikacjach? Niekiedy są celowo zostawiane przez twórców jako „smaczki” dla najbardziej dociekliwych użytkowników. Znacznie częściej są to jednak narzędzia wykorzystywane przez twórców na etapie tworzenia aplikacji i identyfikowania błędów w ich działaniu, które nie zostały usunięte z finalnej wersji. Problem w tym, że to, co dla programisty może być narzędziem, dla przestępcy może okazać się luką, która pozwoli ominąć stosowane przez użytkownika zabezpieczenia i zdobyć dostęp do jego danych – wyjaśnia Kamil Sadkowski z ESET.
Zdaniem eksperta jedyne, co mogą zrobić użytkownicy, by zminimalizować ryzyko w takiej sytuacji, to przestrzegać podstawowych zasad bezpiecznej pracy ze smartfonem. Oznacza to, że należy zwracać uwagę, jakich uprawnień aplikacja żąda na etapie instalacji, a także ograniczyć możliwość korzystania z telefonu przez osoby niepowołane, najlepiej stosując silne hasło blokady i zabezpieczenia biometryczne. Dobrym pomysłem jest także posiadanie skutecznego oprogramowania antywirusowego.
BIZZIT S.A. to Mistrz Polski w pozycjonowaniu stron internetowych już w 2008 roku (oraz nagrody i wyróżnienia)....
Zobacz profil w katalogu firm »
Istniejemy na rynku reklamowym od 2007 r. Przez ten czas zbudowaliśmy nie tylko naszą markę, ale przede wszystkim...
Zobacz profil w katalogu firm »
Tworzymy nowoczesne dedykowane web aplikacje. Naszą domeną jest bezkompromisowa jakość kodu, bezpieczeństwo oraz...
Zobacz profil w katalogu firm »
Pomagamy markom odnosić sukces w Internecie.
Specjalizujemy się w pozycjonowaniu stron, performance marketingu,...
Zobacz profil w katalogu firm »
Pozycjonujemy się jako alternatywa dla agencji sieciowych, oferując konkurencyjną jakość, niższe koszty i...
Zobacz profil w katalogu firm »
Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe.
Świadczymy usługi związane z...
Zobacz profil w katalogu firm »
