Результаты анализа бэкдоров в приложениях для Android

04.04.2020 21:51

Исследователи Центра Гельмгольца по информационной безопасности (CISPA), Университета штата Огайо и Нью-Йоркского университета провели исследование скрытой функциональности в приложениях для платформы Android. Анализ 100 тысяч мобильных приложений из каталога Google Play, 20 тысяч из альтернативного каталога (Baidu) и 30 тысяч предустанавливаемых на различные смартфоны приложений, выделенных из 1000 прошивок с SamMobile, показал, что 12706 (8.5%) программ содержат скрытую от пользователя, но активируемую при помощи специальных последовательностей функциональность, которую можно отнести к бэкдорам.

В частности 7584 приложений включали встроенные секретные ключи доступа, 501 - встроенные мастер-пароли и 6013 - скрытые команды. Проблемные приложения встречаются во всех рассмотренных источниках программ - в процентном соотношении бэкдоры были выявлены в 6.86% (6860) изученных программ из Google Play, в 5.32% (1064) из альтернативного каталога и в 15.96% (4788) из списка предустанавливаемых приложений. Выявленные бэкдоры позволяют любому, кто знает ключи, пароли активации и последовательности для вызова команд, получить доступ к приложению и всем связанным с ним данным.

Например, в приложении для потокового вещания спортивных матчей, имеющем 5 млн установок, обнаружен встроенный ключ для входа в интерфейс администратора, дающий изменить настройки приложения и получить доступ к дополнительной функциональности. В приложений для блокировки экрана, насчитывающем 5 млн установок, найден ключ доступа, позволяющий сбросить пароль, выставляемый пользователем для блокировки устройства. В программе-переводчике, насчитывающей 1 млн установок, присутствует ключ, позволяющий совершать внутри приложения покупки и обновить программу до pro-версии без фактической оплаты.

В программе удалённого управления потерянным устройством, насчитывающей 10 млн установок, выявлен мастер-пароль, дающий возможность снять блокировку, установленную пользователем на случай потери аппарата. В программе для ведения записной книжки найден мастер-пароль, позволяющий разблокировать секретные заметки. Во многих приложениях также выявлены отладочные режимы, открывающие доступ к низкоуровневым возможностям, например, в приложении для совершения покупок при вводе определённой комбинации запускался прокси-сервер, а в обучающей программе была возможность обхода прохождения тестов.

Кроме бэкдоров, в 4028 (2.7%) приложениях выявлено наличие чёрных списков, применяемых для цензурирования поступающей от пользователя информации. Применяемые чёрные списки содержат наборы запрещённых для упоминания слов, включая имена политических партий и политиков, типовые фразы, употребляемые для запугивания и дискриминации определённых слоёв населения. Чёрные списки выявлены в 1.98% изученных программ из Google Play, в 4.46% из альтернативного каталога и в 3.87% из списка предустанавливаемых приложений.

Для проведения анализа использован созданный исследователями инструментарий InputScope, код которого в ближайшее время будет опубликован на GitHub (ранее исследователи уже опубликовали статический анализатор LeakScope, который автоматически выявляет утечки информации в приложениях).

исправить +39 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52677-backdoor

Ключевые слова: backdoor, android, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (80)

1.1, Аноним (-), 23:10, 04/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Список то где? В статье первая же ссылка битая.

2.4, And (??), 23:13, 04/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Это не очень важно. Т.к. app меняются, а поиск подсовывает результат маркетинг-робота. И этого софта много.

3.5, And (??), 23:15, 04/04/2020 [^] [^^] [^^^] [ответить]	–2 +/–
В пику поклонников snap и flatpack. Вот это как работает - вот так. Таже система: apk - самодостаточный контейнер.

4.6, kai3341 (ok), 23:29, 04/04/2020 [^] [^^] [^^^] [ответить]	+8 +/–
То есть если бы пакет был классическим RPM, DEB или ещё чем-нибудь, это бы автоматически гарантировало отсутствие бэкдоров?

5.8, Аноним (8), 23:31, 04/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Как бы, возможность воспроизвести бинарник программы у себя (и проанализировать отличия, если они есть) как раз про это.

6.13, kai3341 (ok), 00:25, 05/04/2020 [^] [^^] [^^^] [ответить]	+3 +/–
То есть RPM, DEB и какой-либо другой бинарный пакет гарантированно идёт с открытыми исходниками?

7.15, Аноним (8), 00:41, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
> То есть RPM, DEB и какой-либо другой бинарный пакет гарантированно идёт с > открытыми исходниками? Так тут не только программа, а и всё набандленное может быть инфицированным или как минимум уязвимым. Потом можно сказать "мы не при делах нас СКОМПРОМЕНТИРОВАЛИ". Или ничего не сказать, де не наша проблема вообще. Что там понапихано в эти миллионы автоматизированных билдов уже никто не знает.

8.73, kai3341 (ok), 23:07, 08/04/2020 [^] [^^] [^^^] [ответить]	+/–
То есть RPM DEB не может содержать в себе бандл сторонних библиотек Подсказка -... текст свёрнут, показать

9.74, Аноним (8), 02:38, 09/04/2020 [^] [^^] [^^^] [ответить]	+/–
Я не проверял, но думаю, что их будет проще пересобрать из исходников Во всяком... текст свёрнут, показать

10.75, kai3341 (ok), 12:01, 09/04/2020 [^] [^^] [^^^] [ответить]	+/–
Дело за малым -- достать исходники... текст свёрнут, показать

11.76, Аноним (8), 12:23, 09/04/2020 [^] [^^] [^^^] [ответить]	+/–
Ну, любая программа чаще всего собирается из исходников, это как минимум факт ... текст свёрнут, показать

12.77, kai3341 (ok), 12:46, 09/04/2020 [^] [^^] [^^^] [ответить]	+/–
Так и есть Уважаемый аноним, достаньте исходники Skype и Teams... текст свёрнут, показать

13.78, Аноним (8), 13:02, 09/04/2020 [^] [^^] [^^^] [ответить]	+/–
Я не берусь утверждать наверняка, но вроде бы это уголовно наказуемо, как и подс... текст свёрнут, показать

7.42, Аноним (42), 14:18, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
А посматривать в файлики LICENSE пакетов кто-то не велит?

6.37, asd123 (?), 13:21, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
А в чем проблема у snap / flatpak воспроизвести?

7.59, gogo (?), 17:52, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Во-первых, наверное таки потому, что это на порядок сложнее, чем пакет? Но и, в главных, речь идет не о том, чтобы воспроизвести, а в том, что там напихино хз что, хз каких версий и обновлять внутренности ты сам не можешь.

4.12, llol (?), 00:10, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
При чём тут система пакетирования, вьюноша? Если snap из репозитория каноникала, то нет причин не доверять. А вот если репозиторий от васяна...

5.17, Вася (??), 01:46, 05/04/2020 [^] [^^] [^^^] [ответить]

+3 +/–

Я даже больше скажу, вьюноша вообще ламо, snap позволяет не только запереть приложуху в внутри его loop-девайса с chroot окружением, но и порулить кастомно ресурсами типа давать сеть, не давать usb, и т.п.

Называется sockets and plugs в контексте снапа. Все френдли из командной строки.

Тот же хромиум в snap по умолчанию имеет доступ к rawusb, что полезно запретить.

Или gnome-calculator внезапно ставится с желанием иметь сеть (видимо из-за конвертора валют)

5.24, iPony129412 (?), 05:47, 05/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
> Если snap из репозитория каноникала, то нет причин не доверять. А вот если репозиторий от васяна... Чего? Как бы стор снапов один вообще, от canonical. И там само собой нет каких-то проверок приложений. Любой васян может выложить туда свой этак биткойн кошелёк, который у тебя уведёт это самое. Шифровальщик тоже можно, и так далее. Так что автора и проект надо пробивать для каждого snap. Исключением являются только небольшое количество поверенных авторов с галочкой, например https://snapcraft.io/pycharm-community

6.27, Аноним (27), 07:16, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Как "проверенность автора с галочкой" защитит его от компрометации, принуждения к вставке бэкдора или дурных мотивов? Репозиторий с поставкой авторских бинариев в любом случае более уязвим, чем репозиторий с билд-фермой, куда автор пакета заливает исходники.

7.29, iPony129412 (?), 07:49, 05/04/2020 [^] [^^] [^^^] [ответить]

–2 +/–

> Как "проверенность автора с галочкой" защитит его от компрометации, принуждения к вставке бэкдора или дурных мотивов?

По тому что это уже переход на уровень бессмысленной демагогии максималиста. А автору можно преставить пистолет к голове и он зальёт исходники с хорошо запрятанным бёкдором - в сложных проектах это не сложно 😮

Разница есть и большая. Одно дело, когда просто студент на потыкать решил собрать и выложить софт какого-то Blender и ему через три месяца надоест, и он на что-то другое переключится. Так же он не побежит выкладывать софт, если секурная уязвимость. И так далее.

А другое дело, когда этим сам Blender Foundation занимается с его же ресурсами и знанием своего продукта многие годы.

Степени разная. Элементарные же вещи.

7.30, iPony129412 (?), 07:56, 05/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Ну или даже, если не теоретизировать, то банальная практика. В Snap Store были выложены приложения майнеры, которые скрывались под известные процессы. Понятно, что если ты ставишь PyCharm от анонимного Terminator6934, то вероятность такого вполне высока. А если ставишь от PyCharm от JetBrains ✅, то вероятность около нуля.

8.33, Аноним (33), 11:46, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
А вот эту зелёную птичку канони кал раздал только нескольким разработчикам, кото... текст свёрнут, показать

7.79, ramblerfrend (?), 00:05, 10/04/2020 [^] [^^] [^^^] [ответить]	+/–
ну очевидноже ему помешает это сделать САМОУВОЖЕНИЕ слыхал о таком странно что приходится объеснть такие весчи

1.2, Аноним (8), 23:11, 04/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
>обновить программу до pro-версии без фактической оплаты Что-то большая часть "бэкдоров" на деле забота о пользователе. Лучше бы проанализировали шпионский софт от яндекса и мэилру. Ну и кто там ещё за любителями потных мужиков подслушивал/подглядывал, вот их тоже.

2.52, Аноним (-), 15:19, 05/04/2020 [^] [^^] [^^^] [ответить]	+6 +/–
Яндекс и мейл один большой вирус, который нужно выпилить.

3.62, InuYasha (?), 23:57, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Два больших вируса. "На выбор" )

4.80, ramblerfrend (?), 00:07, 10/04/2020 [^] [^^] [^^^] [ответить]	+/–
вобщето это импортозамещение а не то что вы по своему недмыслию подумали (с увяжением не подумайте не бх весть что)

2.66, Анонизм (?), 09:07, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
Один из тысяч это большая часть? О_о

1.3, муу (?), 23:13, 04/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+22 +/–
> Результаты анализа бэкдоров в приложениях для Android британские учёные заявляют что в магазине бэкдоров для бэкдорОС приложений выялено не было.

2.7, Аноним (7), 23:29, 04/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
С айос не перепутал?

3.43, Аноним (43), 14:24, 05/04/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Стоит отметиь, что там ситуация получше. Хотя анальное огораживание не решение проблемы само по себе.

3.44, Аноним (42), 14:25, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
БэкдорОС это семейство ОС по определённому признаку.

2.11, Аноним (-), 00:05, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Да, да, "в вашем спирте крови не обнаружено"... слышали...

3.31, Аноним (31), 10:21, 05/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
содержание воды в москве-реке превысило все допустимые нормы

1.9, Аноним (9), 23:32, 04/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Тут и анализировать нечего не надо, большая часть приложении сами являются бэкдорами им и дополнительных не нужно)))

1.10, Аноним (10), 23:47, 04/04/2020 [ответить] [﹢﹢﹢] [ · · · ]

–7 +/–

>в процентном соотношении бэкдоры были выявлены в 6.86% (6860) изученных программ из Google Play, в 5.32% (1064) из сторонних каталогах и в 15.96% (4788) из списка предустанавливаемых приложений

Непонятно, исследовали ли авторы программы с официальных сайтов разработчиков.

И вопрос к переводчику: как "Apps in alternative Market" превратились в "программы из сторонних каталогов"?
"Market" и "каталог" все-таки разные вещи.

1.14, Аноним (14), 00:36, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Интересно, скоро ли можно будет на смартфоне пересобрать ос.

2.16, Аноним (8), 01:41, 05/04/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Андроиду нужно что-то там 100 гигабайт оперативки для сборки. Не скоро, видимо.

3.18, Аноним (7), 01:47, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
На самом деле не больше чем для ядра

4.20, Аноним (8), 01:57, 05/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Мммм ядро в 500 мб уложится (в 1 поток). Когда я интересовался (несколько лет назад), там официальные требования для сборки были уже под 50 гб, т.е. в 100 раз больше.

5.39, Аноним (39), 13:50, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
В своем маня мирке интересовался? Ты не поверишь если обратится к официальной документации https://source.android.com/setup/build/requirements можно узнать что для сборки андройда рекомендуют 16 гигов рам и 250 гигов диска + 150 гигов диска за первый билд.

6.47, vitalif (ok), 14:45, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Чего они там наговнокодили то в таких объемах, хоспаде

7.68, с (?), 15:28, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
ява же, самый быстрый и легковесной

8.82, ramblerfrend (?), 00:24, 10/04/2020 [^] [^^] [^^^] [ответить]	+/–
вабщето у нас там ресурсы всякие ну эти красивасти итд... текст свёрнут, показать

3.21, BlackRot (ok), 02:24, 05/04/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Не 100, а 8

4.22, Аноним (8), 04:07, 05/04/2020 [^] [^^] [^^^] [ответить]	–2 +/–
> Не 100, а 8 Правда? Попробовать что ли. Я читал, что с 16 уже проблемы и нужно 32 или больше. В таком случае, извините за дезинформацию, предположительно можно пересобрать на телефоне уже сегодня.

5.34, DerRoteBaron (ok), 11:50, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
На 8 потоках 16 уже мало, может не собраться и выпасть по ООМ пару раз, если не повезет

6.40, Аноним (39), 13:57, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Расширить своп? Не не слышали.

3.28, Аноним (27), 07:18, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Не оперативки, а места в файловой системе.

4.69, Аноним (8), 15:56, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
> Не оперативки, а места в файловой системе. Места на флешке можно сразу пол терабайта резервировать. Именно что памяти, но тут говорят можно собирать в 1 поток на 16.

2.36, Аноним (36), 13:17, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Один только хром будет качаться несколько часов и займёт NN ГБ диска ДО компиляции.

2.61, SR_team (ok), 19:20, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Собирал на телефоне gcc, boost, qt и все зависимости для них. Собирал через chroot. Кто-то на 4pda писал, что так же ядро собирал. Для сборок APK, вообще IDE есть, без мороки с контейнерами. Так что возможность собрать есть, но собираться будет долго

1.19, Аноним (19), 01:56, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>обновить программу до pro-версии без фактической оплаты лол, хотеть!

2.26, КО (?), 07:11, 05/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Так иди на форум известный

1.23, Аноним (23), 04:35, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> В программе удалённого управления потерянным устройством, насчитывающей 10 млн установок, выявлен мастер-пароль, дающий возможность снять блокировку, установленную пользователем на случай потери аппарата. Делаешь весь такой программу от гопников, а в тихую продаешь ребятам из ломбарда ключ для разблокировки. Супер.

1.25, Аноним (25), 06:49, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> в обучающей программе была возможность обхода прохождения тестов. Жутко опасный функционал (сарказм).

1.32, псевдонимус (?), 10:55, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Да ну...бред какой-то. ;-)

2.35, Аноним (36), 13:14, 05/04/2020 [^] [^^] [^^^] [ответить]	+3 +/–
никогда такого не было :)

3.38, псевдонимус (?), 13:42, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
И вот снова... Страшно представить, что можно найти в виртуалке бпф, в дубасе...

4.46, Аноним (42), 14:32, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Чего, FFT в виртуалке?

5.58, псевдонимус (?), 16:07, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Машинка виртуальная. Берклиподобная прямо с джисоном. Прямо в в пакетном фильтре.

1.41, Аноним (41), 13:59, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Время писать аналоги с открытым кодом для всех!

2.45, Аноним (42), 14:31, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Наверное, лучше делать телефоны, на которые, легко ставить обычный GNU/Linux. Тогда не придётся писать каких-то особенных программ.

3.50, Аноним (50), 15:09, 05/04/2020 [^] [^^] [^^^] [ответить]	+/–
Вот тут анализ с доказательствами, что подавляющее число описанных проблем приложения получают вместе с SDK. https://www.computerra.ru/261789/kak-prilozheniya-shpionyat-za-nami/ Вывод такой: экосистема мобильных приложений в существующем варианте с закрытыми исходниками непригодна.

3.63, iPony129412 (?), 04:55, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
Ну да, ну да. Mpd вместо плеера, Mutt в качестве почтовика, vim как редактор заметок.

1.48, user90 (?), 14:51, 05/04/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–2 +/–

2.51, Аноним (-), 15:13, 05/04/2020 Скрыто ботом-модератором [к модератору]	+5 +/–

3.53, user90 (?), 15:24, 05/04/2020 Скрыто ботом-модератором [к модератору]	–1 +/–

3.56, user90 (?), 15:29, 05/04/2020 Скрыто ботом-модератором [к модератору]	–2 +/–

....ответы скрыты (3)

1.54, Аноним (54), 15:25, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
https://F-Droid.org же. Они берут только исходниками, сами сами собирают и сами делают аудит, и только потом размещают. Потому вайберов с вацапами там нет и не будет, а телега и разные жабы на выбор - есть.

2.64, Аноним (64), 06:19, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
Возможно ли программирование для Android без закрытых SDK? Если ответ нет - см.выше.

3.67, Анонизм (?), 09:29, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
Вопрос в сокращении неизвестных. Одно дело бекдор от гугла и производителей телефонов, которые в общем то относительно доверенные лица, ну да шпионят, уроды, но для повышения прибыли, к твоему кошельку они руки не тянут, и совсем другое дело третьи разработчики.

2.70, Аноним (-), 17:58, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
Телеграмма там нет это проприетарное ПО,

3.71, Анонизм (?), 18:27, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
https://f-droid.org/ru/packages/org.telegram.messenger/

4.81, ramblerfrend (?), 00:12, 10/04/2020 [^] [^^] [^^^] [ответить]	+/–
зачем ты так "а если найду"(с) не културно же

1.57, user90 (?), 15:46, 05/04/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

1.60, Аноним (60), 18:49, 05/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Никогда такого не было и вот опять.

1.65, ryoken (ok), 08:23, 06/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Мда... Подскажите, а нет ли в природе генту-подобных ОС и софта для мобильных девайсов..?

1.72, Аноним (72), 14:10, 07/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Анализ бэкдоров в бэкдоре. Класс.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: