Версия на английском языке

Тайные функции мобильных телефонов

Тайные функции мобильных телефонов

Исследования, проведенные в США, показывают, что почти 10% самых популярных приложений для сотовых телефонов потенциально уязвимы для взлома, так как содержат жестко запрограммированные функции, неизвестные пользователям.

Компьютерные технологии проникли во все аспекты нашей жизни, и в связи с этим возникают важные вопросы о том, как используются данные о нас и насколько безопасно они хранятся. Эта тема обсуждалась в рамках онлайн-симпозиума IEEE Computer Society по безопасности и конфиденциальности, состоявшемся в США.

 

Потайные алгоритмы работы приложений

 

Среди опубликованных отчетов привлекает внимание исследование одного из аспектов проблем кибербезопасности, проведенное группой ученых, работающих в кампусе Университета Огайо (США). Ими обнаружено, что большое количество приложений для мобильных телефонов содержат жестко запрограммированные секретные алгоритмы, позволяющие получать негласный доступ к личным данным владельца или блокировать контент, загружаемый пользователем.

Мы пришли к настораживающему выводу: приложения, установленные на мобильниках, могут иметь скрытое и вредоносное поведение, о котором пользователи ничего не знают, заявил один из участников исследования Чжицян Линь, доцент кафедры информатики и инженерии в Государственном университете Огайо. Как правило, программы взаимодействуют с пользователями телефонов, обрабатывая вводимые ими личные данные, поясняет Линь. Например, пользователям часто нужно нажимать кнопки, вводить определенные словосочетания и запускать слайды, что побуждает приложения выполнять различные действия.

В ходе масштабного проекта исследовательская группа оценила 150 тысяч приложений. Они выбрали 100.000 лучших на основе количества загрузок из Google Play, 20.000 популярных на альтернативном рынке и 30.000 из предустановленных программ на смартфонах с операционной системой Android.

Ими обнаружено, что 12.700 из исследованных приложений (около 8,5%), содержат то, что группа назвала «секретами бэкдора». Так прозваны скрытые функции, принимающие определенного типа контент без ведома пользователя. Исследователи также обнаружили, что отдельные приложения изначально снабжены встроенными «мастер-паролями», которые позволяют третьим лицам, располагающим паролем, получить доступ к программе и вашим личным данным, прописанным в ней. Установлено, что у некоторых приложений имеются секретные ключи доступа, которые могут запускать скрытые опции, в том числе обход платежей.

Пользователи телефонов подвергаются риску, если злоумышленник получил эти «секреты черного хода», подчеркнул Линь, и добавил: на самом деле, мотивированные злоумышленники довольно легко могут перепроектировать программу, чтобы обнаружить скрытые секретные коды.

 

Цензура контента

 

Еще один участник этого исследования (ведущий автор) Цинчуань Чжао, научный сотрудник Университета в штате Огайо, рассказал, что их группа также обнаружила 4.028 программ (около 2,7%), которые блокировали контент, содержащий определенные ключевые слова, подверженные цензуре. В основном это бранные выражения, направленные на расовую и гендерную дискриминацию.

То, что приложения могут ограничивать определенные типы контента, неудивительно, но способ, которым они это делали в смартфонах, был необычным: «стоп-слова» проверялись локально, а не удаленно, отметил Чжао. На многих платформах пользовательский контент может быть модерирован и отфильтрован перед его публикацией. Некоторые социальные сети, включая Facebook, Instagram и Tumblr, уже имеют ограничения по публикуемому контенту.

В связи с этим возникает проблема, продолжил Чжицян Линь. Людям может быть известно, что существует целый ряд слов, запрещенных в общении на веб-платформах. Но при этом они могут не знать содержания всего «черного» списка или каких-либо конкретных примеров. Употребив по неведению одно их таких словосочетаний, они так и не поймут причины автоматической блокировки контента без их ведома. Таким образом, конечные пользователи могут пожелать прояснить расплывчатую ситуацию по контенту, потребовав опубликовать полный перечень запрещенных слов.

Чтобы помочь разработчикам понять слабые стороны своего программного обеспечения и продемонстрировать, что процесс обратного проектирования может быть полностью автоматизирован, команда исследователей презентовала инструмент с открытым исходным кодом под названием InputScope, доступный бесплатно для всех заинтересованных лиц.

Принимая во внимание вышеизложенное, руководством веб-студии Александра Иванова (Avacym.Ru, Москва) настоятельно рекомендовано сотрудникам занимающимся продвижением сайтов заказчиков не устанавливать и не использовать на своих личных мобильных гаджетах приложение Сбербанк Онлайн.

 

06.10.2020

Следующая новость