Результаты анализа бэкдоров в приложениях для Android

4 апреля 2020 года

Исследователи Центра Гельмгольца по информационной безопасности (CISPA), Университета штата Огайо и Нью-Йоркского университета провели исследование скрытой функциональности в приложениях для платформы Android. Анализ 100 тысяч мобильных приложений из каталога Google Play, 20 тысяч из альтернативного каталога (Baidu) и 30 тысяч предустанавливаемых на различные смартфоны приложений, выделенных из 1000 прошивок с SamMobile, показал, что 12706 (8.5%) программ содержат скрытую от пользователя, но активируемую при помощи специальных последовательностей функциональность, которую можно отнести к бэкдорам.

В частности 7584 приложений включали встроенные секретные ключи доступа, 501 - встроенные мастер-пароли и 6013 - скрытые команды. Проблемные приложения встречаются во всех рассмотренных источниках программ - в процентном соотношении бэкдоры были выявлены в 6.86% (6860) изученных программ из Google Play, в 5.32% (1064) из альтернативного каталога и в 15.96% (4788) из списка предустанавливаемых приложений. Выявленные бэкдоры позволяют любому, кто знает ключи, пароли активации и последовательности для вызова команд, получить доступ к приложению и всем связанным с ним данным.

Например, в приложении для потокового вещания спортивных матчей, имеющем 5 млн установок, обнаружен встроенный ключ для входа в интерфейс администратора, дающий изменить настройки приложения и получить доступ к дополнительной функциональности. В приложений для блокировки экрана, насчитывающем 5 млн установок, найден ключ доступа, позволяющий сбросить пароль, выставляемый пользователем для блокировки устройства. В программе-переводчике, насчитывающей 1 млн установок, присутствует ключ, позволяющий совершать внутри приложения покупки и обновить программу до pro-версии без фактической оплаты.

В программе удалённого управления потерянным устройством, насчитывающей 10 млн установок, выявлен мастер-пароль, дающий возможность снять блокировку, установленную пользователем на случай потери аппарата. В программе для ведения записной книжки найден мастер-пароль, позволяющий разблокировать секретные заметки. Во многих приложениях также выявлены отладочные режимы, открывающие доступ к низкоуровневым возможностям, например, в приложении для совершения покупок при вводе определённой комбинации запускался прокси-сервер, а в обучающей программе была возможность обхода прохождения тестов.

Кроме бэкдоров, в 4028 (2.7%) приложениях выявлено наличие чёрных списков, применяемых для цензурирования поступающей от пользователя информации. Применяемые чёрные списки содержат наборы запрещённых для упоминания слов, включая имена политических партий и политиков, типовые фразы, употребляемые для запугивания и дискриминации определённых слоёв населения. Чёрные списки выявлены в 1.98% изученных программ из Google Play, в 4.46% из альтернативного каталога и в 3.87% из списка предустанавливаемых приложений.

Для проведения анализа использован созданный исследователями инструментарий InputScope, код которого в ближайшее время будет опубликован на GitHub (ранее исследователи уже опубликовали статический анализатор LeakScope, который автоматически выявляет утечки информации в приложениях).