Pesquisadores de segurança cibernética descobriram que um grande número de aplicativos para smartphones contém segredos de backdoor codificados, permitindo que hackers acessem dados privados ou bloqueiem o conteúdo fornecido pelos usuários.
Um dos autores do estudo, Zhiqiang Lin (da Ohio State University, nos EUA), disse:
As conclusões do estudo: que os aplicativos em telefones celulares podem ter comportamentos ocultos ou prejudiciais sobre os quais os usuários finais sabem pouco ou nada.
Lin acrescentou:
Normalmente, os aplicativos móveis se envolvem com os usuários processando e respondendo à entrada do usuário. Por exemplo, os usuários geralmente precisam digitar certas palavras ou frases ou clicar em botões e telas deslizantes. Essas entradas solicitam que um aplicativo execute ações diferentes.
Maioria dos aplicativos para smartphones possui segredos de backdoor
Para este estudo, a equipe avaliou 150.000 aplicativos. Eles selecionaram os 100.000 principais com base no número de downloads da loja Google Play, os 20.000 mais baixados em um mercado alternativo e 30.000 em aplicativos pré-instalados em smartphones Android.
Eles descobriram que 12.706 desses aplicativos, cerca de 8,5%, continham algo que a equipe de pesquisa chamou de segredos de backdoor: comportamentos ocultos no aplicativo que aceitam certos tipos de conteúdo para desencadear comportamentos desconhecidos pelos usuários comuns.
Além disso, eles descobriram que alguns aplicativos possuem “senhas mestras” integradas. Elas permitem que qualquer pessoa com essa senha acesse o aplicativo e quaisquer dados privados contidos nele.
Eles descobriram que alguns aplicativos tinham chaves de acesso secretas que poderiam acionar opções ocultas, incluindo ignorar o pagamento.
Por fim, Lin disse:
Tanto usuários quanto desenvolvedores estão em risco se um bandido obtiver esses ‘segredos de backdoor’. Na verdade, invasores motivados podem fazer engenharia reversa dos aplicativos móveis para descobri-los.
Segundo o estudo, os desenvolvedores geralmente assumem erradamente que a engenharia reversa de seus aplicativos não é uma ameaça legítima.
Além disso, a equipe de pesquisa desenvolveu uma ferramenta de código aberto chamada InputScope para ajudar os desenvolvedores a entender os pontos fracos em seus aplicativos e demonstrar que o processo de engenharia reversa pode ser totalmente automatizado.
Fonte: CISO.in | The Economic Times