Een uitgebreid academisch onderzoek heeft verborgen backdoors ontdekt in 12.706 Android-applicaties. Het betreft geheime toegangssleutels, hoofdwachtwoorden en geheime commands die in 6.800 Play Store-apps, 1.000 apps uit app-winkels van derden en bijna 4.800 vooraf geïnstalleerde apps gevonden zijn.
Academici uit Europa en de Verenigde Staten hebben een applicatie ontwikkeld genaamd InputScope (link naar paper), die ze gebruikten om velden van invoerformulieren in meer dan 150.000 Android-applicaties te analyseren. Het onderzoeksteam onderzocht de top 100.000 geïnstalleerde Play Store-apps, de top 20.000 applicaties uit app-winkels van derden en meer dan 30.000 apps die vooraf waren geïnstalleerd op Samsung-telefoons.
De onderzoekers spreken van een ‘zorgwekkende situatie’ en zeggen dat deze backdoor functionaliteiten ongeautoriseerde toegang tot gebruikersaccounts kunnen geven. Als iemand fysieke toegang tot een apparaat heeft en één van deze apps is geïnstalleerd, kan hij andere mensen toegang verlenen tot het apparaat of hen toestaan om met verhoogde bevoegdheden code uit te voeren op het apparaat. Dit is mogelijk vanwege de verborgen commands in de invoervelden van de app om zo de veiligheidsmaatregelen te omzeilen.
Het onderzoeksteam zei dat ze alle app-ontwikkelaars op de hoogte hadden gesteld als er verborgen backdoors en andere onbedoelde functionaliteiten waren ontdekt. Overigens reageerde niet elke ontwikkelaar op de vondsten. Als gevolg hiervan zijn de namen van de applicaties wiens ontwikkelaars niet reageerden niet genoemd om hun gebruikers te beschermen.
Voorbeelden
Het onderzoeksteam kwam achter een populaire app om het apparaat als afstandsbediening te gebruiken (10 miljoen installaties) dat een hoofdwachtwoord bevat om de toegang te ontgrendelen. Ook wanneer de oorspronkelijke eigenaar de telefoon op afstand vergrendelt wanneer het apparaat verloren is gegaan.
“We ontdekten ook een populaire app voor schermvergrendeling (5 miljoen installaties) dat een toegangssleutel bevat om het wachtwoord van willekeurige gebruikers te resetten en zo het systeem binnen kunnen komen,” aldus de onderzoekers.
Niet alles vormt een gevaar voor de gebruikers. Er zijn ook onschuldige easter eggs en debug menu’s gevonden zoals het geval is in dit voorbeeld. Ook heeft het onderzoeksteam door middel van de InputScore-tool per toeval 4028 Android-applicaties gevonden die invoer-blacklists hanteerden, zoals een filter voor ongepaste woorden of politieke statements.
8 uur geleden
