Ett team av cybersäkerhetsforskare har upptäckt att ett stort antal mobiltelefonapplikationer innehåller hårdkodade hemligheter som tillåter andra att komma åt privata data eller blockera innehåll som tillhandahålls av användare.

Studiens resultat:att apparna på mobiltelefoner kan ha dolda eller skadliga beteenden som slutanvändarna inte vet mycket om ingenting, sa Zhiqiang Lin, en docent i datavetenskap och teknik vid Ohio State University och senior författare till studien.

Studien har accepterats för publicering av IEEE -symposiet 2020 om säkerhet och sekretess i maj 2020. Konferensen har flyttat online på grund av det globala utbrottet av coronaviruset (COVID-19).

Vanligtvis, mobilappar interagerar med användare genom att bearbeta och svara på användarinput, sa Lin. Till exempel, användare behöver ofta skriva vissa ord eller meningar, eller klicka på knappar och skjutskärmar. Dessa ingångar uppmanar en app att utföra olika åtgärder.

För denna studie, forskargruppen utvärderade 150, 000 appar. De valde de 100 bästa, 000 baserat på antalet nedladdningar från Google Play Butik, topp 20, 000 från en alternativ marknad, och 30, 000 från förinstallerade appar på Android-smarttelefoner.

De fann att 12, 706 av dessa appar, cirka 8,5 procent, innehöll något forskargruppen märkte "bakdörrshemligheter" - dolda beteenden i appen som accepterar vissa typer av innehåll för att utlösa beteenden som är okända för vanliga användare. De fann också att vissa appar har inbyggda "huvudlösenord, "som tillåter alla med det lösenordet att komma åt appen och all privat data som finns i den. Och några appar, de hittade, hade hemliga åtkomstnycklar som kan utlösa dolda alternativ, inklusive kringgående betalning.

"Både användare och utvecklare är alla i riskzonen om en skurk har fått dessa "bakdörrshemligheter, Sade Lin. Faktum är att han sa, motiverade angripare kan omvandla mobilapparna för att upptäcka dem.

Qingchuan Zhao, en forskarassistent vid Ohio State och huvudförfattare till denna studie, sa att utvecklare ofta felaktigt antar att omvänd konstruktion av deras appar inte är ett legitimt hot.

"En viktig orsak till att mobilappar innehåller dessa "bakdörrshemligheter" är att utvecklare missplacerade förtroendet, "Sa Zhao. För att verkligen säkra sina appar, han sa, utvecklare måste utföra säkerhetsrelevanta användarindatavalideringar och skjuta sina hemligheter på backend-servrarna.

Teamet hittade också ytterligare 4, 028 appar - cirka 2,7 procent - som blockerade innehåll som innehåller specifika sökord som är föremål för censur, nätmobbning eller diskriminering. Att appar kan begränsa vissa typer av innehåll var inte förvånande - men hur de gjorde det var:valideras lokalt istället för på distans, sa Lin.

"På många plattformar, användargenererat innehåll kan modereras eller filtreras innan det publiceras, " han sa, noterar att flera sociala medier, inklusive Facebook, Instagram och Tumblr, redan begränsa innehållet som användare får publicera på dessa plattformar.

"Tyvärr, det kan finnas problem - till exempel användare vet att vissa ord är förbjudna från en plattforms policy, men de är inte medvetna om exempel på ord som betraktas som förbjudna ord och som kan leda till att innehåll blockeras utan användarnas vetskap, " sade han. "Därför, slutanvändare kanske vill förtydliga vaga plattformsinnehållspolicyer genom att se exempel på förbjudna ord. "

Dessutom, han sa, forskare som studerar censur kanske vill förstå vilka termer som anses känsliga.Teamet utvecklade ett verktyg för öppen källkod, heter InputScope, för att hjälpa utvecklare att förstå svagheter i sina appar och för att visa att omvänd teknik kan vara helt automatiserad.