Um estudo acadêmico abrangente publicado esta semana descobriu comportamentos escondidos como backdoor — como chaves de acesso secretas, senhas mestras e comandos secretos — em mais de 12.700 aplicativos Android.
Para descobrir esse comportamento oculto, acadêmicos da Europa e dos EUA desenvolveram uma ferramenta personalizada chamada InputScope, que eles usaram para analisar campos de formulário de entrada encontrados dentro de mais de 150.000 aplicativos Android.
Mais precisamente, os acadêmicos analisaram os 100.000 principais aplicativos da Play Store (baseados em seu número de instalações), os 20.000 principais aplicativos hospedados em lojas de aplicativos de terceiros e mais de 30.000 aplicativos que vieram pré-instalados em aparelhos samsung.
“Nossa avaliação revelou uma situação preocupante”, disse a equipe de pesquisa. “Identificamos 12.706 aplicativos contendo uma variedade de backdoors, como chaves de acesso secretas, senhas mestras e comandos secretos.”
Os pesquisadores dizem que esses mecanismos de backdoor escondidos poderiam permitir que os invasores obtenham acesso não autorizado às contas dos usuários. Além disso, se o invasor tiver acesso físico a um dispositivo e um desses aplicativos for instalado, ele também poderá conceder aos invasores acesso a um telefone ou permitir que eles executem códigos no dispositivo com privilégios elevados (devido aos comandos secretos ocultos presentes nos campos de entrada do aplicativo).
ALGUNS EXEMPLOS DE MECANISMOS ESCONDIDOS COMO BACKDOOR
“Nem esses casos são hipotéticos”, disse a equipe de pesquisa, referindo-se a um exemplo particular.
“Ao examinar manualmente vários aplicativos móveis, descobrimos que um popular aplicativo de controle remoto (10 milhões de instalações) contém uma senha mestre que pode desbloquear o acesso mesmo quando bloqueado remotamente pelo proprietário do telefone quando [o dispositivo] é perdido”, disseram os pesquisadores.
Entrevistas por telefone podem economizar tempo e acelerar o processo de contratação. Esta planilha de trapaça facilitará a pergunta geral e específica do trabalho, permitindo comparar candidatos para a posição de desenvolvedor web de forma sistemática.
“Enquanto isso, também descobrimos que um popular aplicativo de armário de tela (5 milhões de instalações) usa uma chave de acesso para redefinir senhas arbitrárias dos usuários para desbloquear a tela e entrar no sistema.
“Além disso, também descobrimos que um aplicativo de transmissão ao vivo (5 milhões de instalações) contém uma chave de acesso para entrar em sua interface de administrador, através da qual um invasor pode reconfigurar o aplicativo e desbloquear funcionalidades adicionais.
“Finalmente, encontramos um aplicativo de tradução popular (1 milhão de instalações) contém uma chave secreta para contornar o pagamento de serviços avançados, como a remoção dos anúncios exibidos no aplicativo.
Como pode ser visto nos exemplos fornecidos pela equipe de pesquisa, alguns problemas claramente representam um perigo para a segurança do usuário, e os dados armazenados no dispositivo, enquanto outros eram apenas ovos de Páscoa inofensivos ou recursos de depuração que acidentalmente entraram em produção.
No total, os pesquisadores disseram ter encontrado mais de 6.800 aplicativos com backdoors/funções escondidas na Play Store, mais de 1.000 em lojas de terceiros e quase 4.800 aplicativos que vieram pré-instalados em dispositivos Samsung.
A equipe de pesquisa disse que notificou todos os desenvolvedores de aplicativos onde encontraram comportamento oculto ou um mecanismo semelhante ao backdoor. No entanto, nem todos os devs de aplicativos responderam.
Como resultado, alguns dos aplicativos que foram fornecidos como exemplos no white paper da equipe tiveram seus nomes redigidos para proteger seus usuários.
Detalhes adicionais sobre a pesquisa estão disponíveis em um artigo científico intitulado “Automatic Uncovering of Hidden Behaviors FromInput Validation in Mobile Apps“, publicado por pesquisadores da Ohio State University, New York University, e do CISPA Helmholtz Center for Information Security da Alemanha.
Uma vez que a ferramenta InputScore analisou campos de entrada dentro de aplicativos Android, um efeito colateral desta pesquisa foi que a equipe acadêmica também descobriu quais aplicativos empregavam filtros de palavras ruins escondidos ou listas negras politicamente motivadas. No total, os pesquisadores disseram ter encontrado 4.028 aplicativos para Android que apresentavam listas negras de entrada.
FONTE: ZDNET