Een team van cybersecurity-onderzoekers heeft ontdekt dat een groot aantal mobiele telefoontoepassingen hardgecodeerde geheimen bevatten waardoor anderen toegang kunnen krijgen tot privégegevens of inhoud van gebruikers kunnen blokkeren.

De bevindingen van het onderzoek:dat de apps op mobiele telefoons verborgen of schadelijk gedrag kunnen vertonen waar eindgebruikers weinig tot niets van weten, zei Zhiqiang Lin, een universitair hoofddocent informatica en engineering aan de Ohio State University en senior auteur van de studie.

Het onderzoek is geaccepteerd voor publicatie tijdens het IEEE Symposium on Security and Privacy 2020 in mei. De conferentie is online verplaatst vanwege de wereldwijde uitbraak van het coronavirus (COVID-19).

Typisch, mobiele apps communiceren met gebruikers door gebruikersinvoer te verwerken en erop te reageren, zei Lin. Bijvoorbeeld, gebruikers moeten vaak bepaalde woorden of zinnen typen, of klik op knoppen en schuifschermen. Die ingangen vragen een app om verschillende acties uit te voeren.

Voor deze studie is het onderzoeksteam evalueerde 150, 000 apps. Ze selecteerden de top 100, 000 op basis van het aantal downloads uit de Google Play Store, de top 20, 000 van een alternatieve markt, en 30, 000 van vooraf geïnstalleerde apps op Android-smartphones.

Ze vonden dat 12, 706 van die apps, ongeveer 8,5 procent, bevatte iets dat het onderzoeksteam "achterdeurgeheimen" noemde:verborgen gedragingen in de app die bepaalde soorten inhoud accepteren om gedrag te triggeren dat onbekend is bij gewone gebruikers. Ze ontdekten ook dat sommige apps ingebouwde "hoofdwachtwoorden, " waarmee iedereen met dat wachtwoord toegang heeft tot de app en alle privégegevens die erin staan. En sommige apps, ze vonden, geheime toegangssleutels hadden die verborgen opties konden activeren, inclusief het omzeilen van betaling.

"Zowel gebruikers als ontwikkelaars lopen allemaal risico als een slechterik deze 'achterdeurgeheimen' heeft verkregen, '" zei Lin. In feite, hij zei, gemotiveerde aanvallers kunnen de mobiele apps reverse-engineeren om ze te ontdekken.

Qingchuan Zhao, een afgestudeerde onderzoeksassistent aan de Ohio State en hoofdauteur van deze studie, zei dat ontwikkelaars vaak ten onrechte aannemen dat reverse engineering van hun apps geen legitieme bedreiging is.

"Een belangrijke reden waarom mobiele apps deze 'achterdeurgeheimen' bevatten, is omdat ontwikkelaars het vertrouwen hebben misplaatst, " zei Zhao. Om hun apps echt te beveiligen, hij zei, ontwikkelaars moeten veiligheidsrelevante gebruikersinvoervalidaties uitvoeren en hun geheimen naar de backend-servers pushen.

Het team vond er ook nog 4, 028 apps - ongeveer 2,7 procent - die inhoud blokkeerden die specifieke zoekwoorden bevat die onderhevig zijn aan censuur, cyberpesten of discriminatie. Dat apps bepaalde soorten inhoud mogelijk beperken, was niet verrassend, maar de manier waarop ze dat deden was:lokaal gevalideerd in plaats van op afstand, zei Lin.

"Op veel platforms door gebruikers gegenereerde inhoud kan worden gemodereerd of gefilterd voordat deze wordt gepubliceerd, " hij zei, opmerkend dat verschillende sociale-mediasites, inclusief Facebook, Instagram en Tumblr, de inhoud die gebruikers op die platforms mogen publiceren al beperken.

"Helaas, er kunnen problemen zijn, bijvoorbeeld gebruikers weten dat bepaalde woorden verboden zijn in het beleid van een platform, maar ze zijn niet op de hoogte van voorbeelden van woorden die als verboden woorden worden beschouwd en die ertoe kunnen leiden dat inhoud wordt geblokkeerd zonder medeweten van de gebruikers, "zei hij. "Daarom, eindgebruikers willen misschien het vage beleid voor platforminhoud verduidelijken door voorbeelden van verboden woorden te zien."

In aanvulling, hij zei, onderzoekers die censuur bestuderen, willen misschien begrijpen welke termen als gevoelig worden beschouwd. Het team ontwikkelde een open source-tool, genaamd InputScope, om ontwikkelaars te helpen zwakke punten in hun apps te begrijpen en om aan te tonen dat het reverse engineering-proces volledig kan worden geautomatiseerd.