Un equipo de investigadores de ciberseguridad descubrió que una gran cantidad de aplicaciones de teléfonos celulares contienen secretos codificados que permiten a otros acceder a datos privados o bloquear contenido proporcionado por los usuarios.
Los resultados del estudio: que las aplicaciones en teléfonos móviles pueden tener comportamientos ocultos o dañinos sobre los cuales los usuarios finales saben poco o nada, dijo Zhiqiang Lin, profesor asociado de ciencias de la computación e ingeniería en la Universidad Estatal de Ohio y autor principal del estudio.
El estudio fue aceptado para su publicación por el Simposio 2020 IEEE sobre Seguridad y Privacidad en mayo. La conferencia se trasladó en línea debido al brote de coronavirus global COVID-19.
Por lo general, las aplicaciones móviles interactúan con los usuarios procesando y respondiendo a las entradas de los usuarios, dijo Lin. Por ejemplo, los usuarios a menudo necesitan escribir ciertas palabras u oraciones, o hacer clic en botones y pantallas deslizantes. Estas entradas hacen que una aplicación realice diferentes acciones.
Para este estudio, el equipo de investigación evaluó 150,000 aplicaciones. Seleccionaron las 100,000 principales basadas en el número de descargas de la tienda Google Play, las 20,000 principales de un mercado alternativo y 30,000 de aplicaciones preinstaladas en teléfonos inteligentes Android.
Descubrieron que 12.706 de esas aplicaciones, alrededor del 8,5 por ciento, contenían algo que el equipo de investigación denominó "secretos de puerta trasera": comportamientos ocultos dentro de la aplicación que aceptan ciertos tipos de contenido para desencadenar comportamientos desconocidos para los usuarios habituales. También descubrieron que algunoslas aplicaciones tienen "contraseñas maestras" integradas, que permiten que cualquier persona con esa contraseña acceda a la aplicación y a los datos privados contenidos en ella. Y descubrieron que algunas aplicaciones tenían claves de acceso secretas que podrían activar opciones ocultas, incluida eludir el pago.
"Tanto los usuarios como los desarrolladores están en riesgo si un chico malo ha obtenido estos 'secretos de puerta trasera'", dijo Lin. De hecho, dijo, los atacantes motivados podrían realizar ingeniería inversa de las aplicaciones móviles para descubrirlas.
Qingchuan Zhao, un asistente de investigación graduado en el estado de Ohio y autor principal de este estudio, dijo que los desarrolladores a menudo asumen erróneamente que la ingeniería inversa de sus aplicaciones no es una amenaza legítima.
"Una razón clave por la cual las aplicaciones móviles contienen estos 'secretos de puerta trasera' es porque los desarrolladores extraviaron la confianza", dijo Zhao. Para asegurar realmente sus aplicaciones, dijo, los desarrolladores deben realizar validaciones de entrada de usuario relevantes para la seguridad y revelar sus secretosen los servidores de fondo.
El equipo también encontró otras 4.028 aplicaciones, alrededor del 2.7 por ciento, que bloqueaban contenido que contenía palabras clave específicas sujetas a censura, acoso cibernético o discriminación. Que las aplicaciones pudieran limitar ciertos tipos de contenido no era sorprendente, pero la forma en que lo hicieronfue: validado localmente en lugar de remotamente, dijo Lin.
"En muchas plataformas, el contenido generado por el usuario puede ser moderado o filtrado antes de ser publicado", dijo, y señaló que varios sitios de redes sociales, incluidos Facebook, Instagram y Tumblr, ya limitan el contenido que los usuarios pueden publicar en esosplataformas.
"Desafortunadamente, pueden existir problemas; por ejemplo, los usuarios saben que ciertas palabras están prohibidas por la política de una plataforma, pero no tienen conocimiento de ejemplos de palabras que se consideran prohibidas y que pueden provocar que el contenido se bloquee sin los usuarios"conocimiento ", dijo." Por lo tanto, los usuarios finales pueden desear aclarar políticas vagas de contenido de la plataforma al ver ejemplos de palabras prohibidas ".
Además, dijo, los investigadores que estudian la censura pueden desear entender qué términos se consideran sensibles. El equipo desarrolló una herramienta de código abierto, llamada InputScope, para ayudar a los desarrolladores a comprender las debilidades en sus aplicaciones y demostrar que el proceso de ingeniería inversa puede sercompletamente automatizado.
Fuente de la historia :
Materiales proporcionado por Universidad Estatal de Ohio . Original escrito por Laura Arenschield. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :