Un team di ricercatori sulla sicurezza informatica ha scoperto che un gran numero di applicazioni per telefoni cellulari contiene segreti codificati che consentono ad altri di accedere a dati privati ​​o bloccare i contenuti forniti dagli utenti.

I risultati dello studio:che le app sui telefoni cellulari potrebbero avere comportamenti nascosti o dannosi di cui gli utenti finali sanno poco o nulla, disse Zhiqiang Lin, professore associato di informatica e ingegneria presso la Ohio State University e autore senior dello studio.

Lo studio è stato accettato per la pubblicazione dal Simposio IEEE 2020 su sicurezza e privacy a maggio. La conferenza è stata spostata online a causa dell'epidemia globale di coronavirus (COVID-19).

Tipicamente, le app mobili interagiscono con gli utenti elaborando e rispondendo all'input dell'utente, disse Lin. Ad esempio, gli utenti hanno spesso bisogno di digitare determinate parole o frasi, oppure fare clic su pulsanti e schermate di scorrimento. Questi input richiedono a un'app di eseguire azioni diverse.

Per questo studio, il gruppo di ricerca ha valutato 150, 000 app. Hanno selezionato i primi 100, 000 in base al numero di download dal Google Play Store, i primi 20, 000 da un mercato alternativo, e 30, 000 dalle app preinstallate su smartphone Android.

Hanno scoperto che 12, 706 di quelle app, circa l'8,5 per cento, conteneva qualcosa che il team di ricerca ha etichettato come "segreti backdoor":comportamenti nascosti all'interno dell'app che accettano determinati tipi di contenuti per attivare comportamenti sconosciuti agli utenti regolari. Hanno anche scoperto che alcune app hanno "password principali" integrate " che consentono a chiunque disponga di quella password di accedere all'app e ai dati privati ​​in essa contenuti. E alcune app, hanno trovato, aveva chiavi di accesso segrete che potevano attivare opzioni nascoste, compreso l'elusione del pagamento.

"Sia gli utenti che gli sviluppatori sono tutti a rischio se un malintenzionato ha ottenuto questi 'segreti backdoor, '" ha detto Lin. In effetti, Egli ha detto, gli aggressori motivati ​​potrebbero decodificare le app mobili per scoprirle.

Qingchuan Zhao, un assistente di ricerca laureato presso l'Ohio State e autore principale di questo studio, ha affermato che gli sviluppatori spesso ritengono erroneamente che il reverse engineering delle loro app non sia una minaccia legittima.

"Un motivo chiave per cui le app mobili contengono questi "segreti backdoor" è perché gli sviluppatori hanno mal riposto la fiducia, " ha detto Zhao. Per proteggere veramente le loro app, Egli ha detto, gli sviluppatori devono eseguire convalide dell'input dell'utente rilevanti per la sicurezza e inviare i propri segreti ai server di backend.

La squadra ha trovato anche altri 4, 028 app, circa il 2,7%, che hanno bloccato contenuti contenenti parole chiave specifiche soggette a censura, cyberbullismo o discriminazione. Che le app potessero limitare alcuni tipi di contenuti non era sorprendente, ma il modo in cui lo facevano era:convalidato localmente anziché in remoto, disse Lin.

"Su molte piattaforme, i contenuti generati dagli utenti possono essere moderati o filtrati prima di essere pubblicati, " Egli ha detto, osservando che diversi siti di social media, compreso Facebook, Instagram e Tumblr, limitano già i contenuti che gli utenti possono pubblicare su tali piattaforme.

"Sfortunatamente, potrebbero esserci problemi, ad esempio gli utenti sanno che determinate parole sono vietate dalla politica di una piattaforma, ma non sono a conoscenza di esempi di parole che sono considerate parole vietate e potrebbero comportare il blocco del contenuto all'insaputa degli utenti, " ha detto. "Pertanto, gli utenti finali potrebbero voler chiarire le vaghe politiche sui contenuti della piattaforma vedendo esempi di parole vietate."

Inoltre, Egli ha detto, i ricercatori che studiano la censura potrebbero voler capire quali termini sono considerati sensibili. Il team ha sviluppato uno strumento open source, denominato InputScope, per aiutare gli sviluppatori a comprendere i punti deboli delle loro app e dimostrare che il processo di reverse engineering può essere completamente automatizzato.