Uma equipe de pesquisadores de segurança cibernética descobriu que um grande número de aplicativos de telefone celular contém segredos codificados que permitem que outros acessem dados privados ou bloqueiem conteúdo fornecido por usuários.

As descobertas do estudo:que os aplicativos em telefones celulares podem ter comportamentos ocultos ou prejudiciais sobre os quais os usuários finais sabem pouco ou nada, disse Zhiqiang Lin, professor associado de ciência da computação e engenharia da The Ohio State University e autor sênior do estudo.

O estudo foi aceito para publicação no Simpósio IEEE de 2020 sobre Segurança e Privacidade em maio. A conferência está online devido ao surto global de coronavírus (COVID-19).

Tipicamente, os aplicativos móveis se envolvem com os usuários processando e respondendo à entrada do usuário, Lin disse. Por exemplo, os usuários geralmente precisam digitar certas palavras ou frases, ou clique em botões e telas de slides. Essas entradas fazem com que um aplicativo execute ações diferentes.

Para este estudo, a equipe de pesquisa avaliou 150, 000 aplicativos. Eles selecionaram os 100 melhores, 000 com base no número de downloads da Google Play Store, os 20 melhores, 000 de um mercado alternativo, e 30, 000 de aplicativos pré-instalados em smartphones Android.

Eles descobriram que 12, 706 desses aplicativos, cerca de 8,5 por cento, continha algo que a equipe de pesquisa rotulou de "segredos da porta dos fundos" - comportamentos ocultos dentro do aplicativo que aceitam certos tipos de conteúdo para desencadear comportamentos desconhecidos para usuários regulares. Eles também descobriram que alguns aplicativos têm "senhas mestras integradas, "que permite que qualquer pessoa com essa senha acesse o aplicativo e quaisquer dados privados contidos nele. E alguns aplicativos, eles encontraram, tinha chaves de acesso secretas que podiam acionar opções ocultas, incluindo ignorar o pagamento.

"Tanto os usuários quanto os desenvolvedores correm risco se um bandido obtiver esses segredos da porta dos fundos, '"Lin disse. Na verdade, ele disse, invasores motivados podem fazer engenharia reversa nos aplicativos móveis para descobri-los.

Qingchuan Zhao, um assistente de pesquisa de pós-graduação na Ohio State e principal autor deste estudo, disse que os desenvolvedores muitas vezes assumem erroneamente que a engenharia reversa de seus aplicativos não é uma ameaça legítima.

“Um dos principais motivos pelos quais os aplicativos móveis contêm esses 'segredos da porta dos fundos' é que os desenvolvedores perderam a confiança, "Zhao disse. Para realmente proteger seus aplicativos, ele disse, os desenvolvedores precisam realizar validações de entrada do usuário relevantes para a segurança e enviar seus segredos para os servidores de back-end.

A equipe também encontrou outros 4, 028 aplicativos - cerca de 2,7 por cento - que bloquearam conteúdo contendo palavras-chave específicas sujeitas a censura, cyber bullying ou discriminação. O fato de os aplicativos poderem limitar certos tipos de conteúdo não era surpreendente, mas a forma como o faziam foi:validado localmente em vez de remotamente, Lin disse.

"Em muitas plataformas, o conteúdo gerado pelo usuário pode ser moderado ou filtrado antes de ser publicado, " ele disse, observando que vários sites de mídia social, incluindo o Facebook, Instagram e Tumblr, já limita o conteúdo que os usuários têm permissão para publicar nessas plataformas.

"Infelizmente, pode haver problemas - por exemplo, os usuários sabem que certas palavras são proibidas pela política de uma plataforma, mas eles não têm conhecimento de exemplos de palavras que são consideradas proibidas e podem resultar no bloqueio de conteúdo sem o conhecimento do usuário, "disse ele." Portanto, os usuários finais podem desejar esclarecer as políticas de conteúdo da plataforma vagas, vendo exemplos de palavras proibidas. "

Além disso, ele disse, pesquisadores que estudam censura podem querer entender quais termos são considerados confidenciais. A equipe desenvolveu uma ferramenta de código aberto, nomeado InputScope, para ajudar os desenvolvedores a entender os pontos fracos de seus aplicativos e para demonstrar que o processo de engenharia reversa pode ser totalmente automatizado.