Certaines applications de téléphonie mobile peuvent contenir des comportements cachés que les utilisateurs ne voient jamais

Une équipe de chercheurs en cybersécurité a découvert qu'un grand nombre d'applications de téléphonie cellulaire contiennent des secrets codés en dur permettant à d'autres d'accéder à des données privées ou de bloquer le contenu fourni par les utilisateurs.

Les résultats de l'étude: que les applications sur les téléphones mobiles peuvent avoir des comportements cachés ou nuisibles dont les utilisateurs finaux ne savent pas grand-chose, a déclaré Zhiqiang Lin, professeur agrégé d'informatique et d'ingénierie à l'Ohio State University et auteur principal de l'étude.

L'étude a été acceptée pour publication par le Symposium 2020 de l'IEEE sur la sécurité et la confidentialité en mai. La conférence a été mise en ligne en raison de l'épidémie mondiale de coronavirus (COVID-19).

En règle générale, les applications mobiles interagissent avec les utilisateurs en traitant et en répondant aux entrées des utilisateurs, a déclaré Lin. Par exemple, les utilisateurs doivent souvent taper certains mots ou phrases, ou cliquer sur des boutons et des écrans de diapositives. Ces entrées invitent une application à effectuer différentes actions.

Pour cette étude, l'équipe de recherche a évalué 150 000 applications. Ils ont sélectionné les 100 000 premiers en fonction du nombre de téléchargements sur la boutique Google Play, les 20 000 premiers sur un marché alternatif et 30 000 d'applications préinstallées sur les smartphones Android.

Ils ont constaté que 12 706 de ces applications, soit environ 8,5%, contenaient quelque chose que l'équipe de recherche a qualifié de «secrets de porte dérobée» – des comportements cachés dans l'application qui acceptent certains types de contenu pour déclencher des comportements inconnus des utilisateurs réguliers. Ils ont également constaté que certaines applications ont des «mots de passe principaux» intégrés, qui permettent à toute personne possédant ce mot de passe d'accéder à l'application et à toutes les données privées qu'elle contient. Et certaines applications, ont-ils découvert, avaient des clés d'accès secrètes qui pouvaient déclencher des options cachées, y compris le contournement du paiement.

"Les utilisateurs et les développeurs sont tous à risque si un méchant a obtenu ces" secrets de porte dérobée "", a déclaré Lin. En fait, a-t-il dit, des attaquants motivés pourraient inverser l'ingénierie des applications mobiles pour les découvrir.

Qingchuan Zhao, assistant de recherche diplômé de l'Ohio State et auteur principal de cette étude, a déclaré que les développeurs supposent souvent à tort que l'ingénierie inverse de leurs applications n'est pas une menace légitime.

"L'une des principales raisons pour lesquelles les applications mobiles contiennent ces" secrets de porte dérobée "est que les développeurs ont égaré la confiance", a déclaré Zhao. Pour vraiment sécuriser leurs applications, a-t-il dit, les développeurs doivent effectuer des validations d'entrée utilisateur pertinentes pour la sécurité et pousser leurs secrets sur les serveurs principaux.

L'équipe a également trouvé 4 028 applications supplémentaires, soit environ 2,7%, qui bloquaient le contenu contenant des mots clés spécifiques soumis à la censure, à la cyberintimidation ou à la discrimination. Le fait que les applications puissent limiter certains types de contenu n'était pas surprenant, mais la façon dont ils l'ont fait était: validée localement plutôt qu'à distance, a déclaré Lin.

"Sur de nombreuses plateformes, le contenu généré par les utilisateurs peut être modéré ou filtré avant d'être publié", a-t-il déclaré, notant que plusieurs sites de réseaux sociaux, dont Facebook, Instagram et Tumblr, limitent déjà le contenu que les utilisateurs sont autorisés à publier sur ces plateformes.

"Malheureusement, il peut exister des problèmes. Par exemple, les utilisateurs savent que certains mots sont interdits dans la stratégie d'une plate-forme, mais ils ne connaissent pas d'exemples de mots qui sont considérés comme des mots interdits et peuvent entraîner le blocage de contenu à l'insu des utilisateurs". il a dit. "Par conséquent, les utilisateurs finaux peuvent souhaiter clarifier les politiques de contenu de plate-forme vagues en voyant des exemples de mots interdits."

En outre, a-t-il déclaré, les chercheurs qui étudient la censure pourraient vouloir comprendre quels termes sont considérés comme sensibles.L'équipe a développé un outil open source, nommé InputScope, pour aider les développeurs à comprendre les faiblesses de leurs applications et à démontrer que le processus de rétro-ingénierie peut être entièrement automatisé. .