A maioria dos aplicativos para smartphones possui ‘segredos secretos’ para hackers: pesquisadores – Últimas Notícias

Pesquisadores de segurança cibernética descobriram que um grande número de aplicativos de telefonia móvel contém ‘segredos de backdoor’ codificados, permitindo que hackers acessem dados privados ou bloqueiem o conteúdo fornecido pelos usuários.

“As conclusões do estudo: que o apps em telefones celulares pode ter comportamentos ocultos ou prejudiciais sobre os quais os usuários finais sabem pouco ou nada “, disse o autor do estudo Zhiqiang Lin, da Ohio State University, nos EUA.

“Normalmente, os aplicativos móveis se envolvem com os usuários processando e respondendo à entrada do usuário. Por exemplo, os usuários geralmente precisam digitar determinadas palavras ou frases ou clicar em botões e telas deslizantes. Essas entradas solicitam que um aplicativo execute ações diferentes”, acrescentou Lin.

Para este estudo, a equipe avaliou 150.000 aplicativos. Eles selecionaram os 100.000 principais com base no número de downloads do Google Play Store, os 20.000 melhores de um mercado alternativo e 30.000 de aplicativos pré-instalados em smartphones Android.

Eles descobriram que 12.706 desses aplicativos, cerca de 8,5%, continham algo que a equipe de pesquisa chamou de “segredos da porta dos fundos” – comportamentos ocultos no aplicativo que aceitam certos tipos de conteúdo para desencadear comportamentos desconhecidos pelos usuários comuns.

Eles também descobriram que alguns aplicativos possuem “senhas mestras” integradas, que permitem que qualquer pessoa com essa senha acesse o aplicativo e quaisquer dados privados contidos nele.

Eles descobriram que alguns aplicativos tinham chaves de acesso secretas que poderiam acionar opções ocultas, incluindo ignorar o pagamento.

“Tanto usuários quanto desenvolvedores estão em risco se um bandido obtiver esses ‘segredos de backdoor’. Na verdade, invasores motivados podem fazer engenharia reversa dos aplicativos móveis para descobri-los”, disse Lin.

Segundo o estudo, os desenvolvedores geralmente assumem erradamente que a engenharia reversa de seus aplicativos não é uma ameaça legítima.

“Uma das principais razões pelas quais os aplicativos móveis contêm esses ‘segredos de backdoor’ é porque os desenvolvedores perderam a confiança”, disse o principal autor do estudo, Qingchuan Zhao.

Para realmente proteger seus aplicativos, os desenvolvedores precisam executar validações de entrada do usuário relevantes para a segurança e divulgar seus segredos nos servidores de back-end.

Além disso, a equipe de pesquisa desenvolveu uma ferramenta de código aberto, chamada InputScope, para ajudar os desenvolvedores a entender os pontos fracos em seus aplicativos e demonstrar que o processo de engenharia reversa pode ser totalmente automatizado.

O estudo foi aceito para publicação no Simpósio 2020 do IEEE sobre Segurança e Privacidade em maio. A conferência foi movida on-line por causa da global coronavírus (COVID-19) surto.