Une équipe de chercheurs en cybersécurité a découvert que certaines applications cachent des secrets « de porte dérobée » qui pourraient les rendre vulnérables au piratage. Crédit :Rami Al-zayat sur Unsplash
Une équipe de chercheurs en cybersécurité a découvert qu'un grand nombre d'applications de téléphonie mobile contiennent des secrets codés en dur permettant à d'autres d'accéder à des données privées ou de bloquer le contenu fourni par les utilisateurs.
Les conclusions de l'étude :que les applications sur les téléphones mobiles pourraient avoir des comportements cachés ou nuisibles dont les utilisateurs finaux ne savent que peu ou rien, dit Zhiqiang Lin, professeur agrégé d'informatique et d'ingénierie à l'Ohio State University et auteur principal de l'étude.
L'étude a été acceptée pour publication par le Symposium IEEE 2020 sur la sécurité et la confidentialité en mai. La conférence a été déplacée en ligne en raison de l'épidémie mondiale de coronavirus (COVID-19).
Typiquement, les applications mobiles interagissent avec les utilisateurs en traitant et en répondant aux entrées des utilisateurs, dit Lin. Par exemple, les utilisateurs ont souvent besoin de taper certains mots ou phrases, ou cliquez sur des boutons et des écrans de diapositives. Ces entrées invitent une application à effectuer différentes actions.
Pour cette étude, l'équipe de recherche en a évalué 150, 000 applications. Ils ont sélectionné les 100 meilleurs, 000 en fonction du nombre de téléchargements depuis le Google Play store, les 20 premiers, 000 d'un marché alternatif, et 30, 000 à partir d'applications préinstallées sur les smartphones Android.
Ils ont trouvé que 12, 706 de ces applications, environ 8,5 pour cent, contenait quelque chose que l'équipe de recherche a qualifié de « secrets de porte dérobée » :des comportements cachés au sein de l'application qui acceptent certains types de contenu pour déclencher des comportements inconnus des utilisateurs réguliers. Ils ont également constaté que certaines applications ont des « mots de passe principaux, " qui permettent à toute personne possédant ce mot de passe d'accéder à l'application et à toutes les données privées qu'elle contient. Et certaines applications, ils ont trouvé, avait des clés d'accès secrètes qui pouvaient déclencher des options cachées, y compris le contournement du paiement.
"Les utilisateurs et les développeurs sont tous en danger si un méchant a obtenu ces" secrets de porte dérobée, '", a déclaré Lin. En fait, il a dit, les attaquants motivés pourraient faire de l'ingénierie inverse sur les applications mobiles pour les découvrir.
Qingchuan Zhao, assistant de recherche diplômé à l'Ohio State et auteur principal de cette étude, a déclaré que les développeurs supposent souvent à tort que l'ingénierie inverse de leurs applications n'est pas une menace légitime.
« Une des principales raisons pour lesquelles les applications mobiles contiennent ces « secrets de porte dérobée » est que les développeurs ont mal placé la confiance, " a déclaré Zhao. Pour vraiment sécuriser leurs applications, il a dit, les développeurs doivent effectuer des validations d'entrée utilisateur pertinentes pour la sécurité et transmettre leurs secrets sur les serveurs principaux.
L'équipe a également trouvé 4 autres, 028 applications (environ 2,7 %) qui ont bloqué le contenu contenant des mots clés spécifiques soumis à la censure, la cyberintimidation ou la discrimination. Que les applications puissent limiter certains types de contenu n'était pas surprenant, mais la façon dont elles l'ont fait était :validée localement plutôt qu'à distance, dit Lin.
« Sur de nombreuses plateformes, le contenu généré par les utilisateurs peut être modéré ou filtré avant sa publication, " il a dit, notant que plusieurs sites de médias sociaux, y compris Facebook, Instagram et Tumblr, limitent déjà le contenu que les utilisateurs sont autorisés à publier sur ces plateformes.
"Malheureusement, il peut y avoir des problèmes, par exemple, les utilisateurs savent que certains mots sont interdits dans la politique d'une plateforme, mais ils ne connaissent pas d'exemples de mots qui sont considérés comme des mots interdits et pourraient entraîner le blocage du contenu à l'insu des utilisateurs, " dit-il. " Par conséquent, les utilisateurs finaux peuvent souhaiter clarifier les politiques de contenu vagues de la plate-forme en voyant des exemples de mots interdits."
En outre, il a dit, les chercheurs qui étudient la censure peuvent souhaiter comprendre quels termes sont considérés comme sensibles. L'équipe a développé un outil open source, nommé InputScope, pour aider les développeurs à comprendre les faiblesses de leurs applications et à démontrer que le processus de rétro-ingénierie peut être entièrement automatisé.