Un equipo de investigadores de ciberseguridad ha descubierto que una gran cantidad de aplicaciones de teléfonos móviles contienen secretos codificados que permiten a otros acceder a datos privados o bloquear el contenido proporcionado por los usuarios.

Los hallazgos del estudio:que las aplicaciones en los teléfonos móviles pueden tener comportamientos ocultos o dañinos sobre los cuales los usuarios finales saben poco o nada, dijo Zhiqiang Lin, profesor asociado de ciencias de la computación e ingeniería en la Universidad Estatal de Ohio y autor principal del estudio.

El estudio ha sido aceptado para su publicación por el Simposio de Seguridad y Privacidad del IEEE 2020 en mayo. La conferencia se ha movido en línea debido al brote global de coronavirus (COVID-19).

Típicamente, las aplicaciones móviles interactúan con los usuarios procesando y respondiendo a la entrada del usuario, Dijo Lin. Por ejemplo, los usuarios a menudo necesitan escribir ciertas palabras u oraciones, o haga clic en botones y pantallas de diapositivas. Esas entradas hacen que una aplicación realice diferentes acciones.

Para este estudio, el equipo de investigación evaluó 150, 000 aplicaciones. Seleccionaron los 100 mejores, 000 según el número de descargas de la tienda Google Play, los 20 primeros, 000 de un mercado alternativo, y 30, 000 de aplicaciones preinstaladas en teléfonos inteligentes Android.

Encontraron que 12, 706 de esas aplicaciones, alrededor del 8,5 por ciento, contenía algo que el equipo de investigación denominó "secretos de puerta trasera":comportamientos ocultos dentro de la aplicación que aceptan ciertos tipos de contenido para desencadenar comportamientos desconocidos para los usuarios habituales. También descubrieron que algunas aplicaciones tienen "contraseñas maestras, "que permiten a cualquier persona con esa contraseña acceder a la aplicación y a los datos privados que contiene. Y algunas aplicaciones, ellos encontraron, tenía claves de acceso secretas que podían activar opciones ocultas, incluido el pago de omisión.

"Tanto los usuarios como los desarrolladores están en riesgo si un delincuente ha obtenido estos 'secretos de puerta trasera, '", Dijo Lin. De hecho, él dijo, los atacantes motivados podrían aplicar ingeniería inversa a las aplicaciones móviles para descubrirlas.

Qingchuan Zhao, asistente de investigación graduado en Ohio State y autor principal de este estudio, dijo que los desarrolladores a menudo asumen erróneamente que la ingeniería inversa de sus aplicaciones no es una amenaza legítima.

"Una razón clave por la que las aplicaciones móviles contienen estos 'secretos secretos' es que los desarrolladores extraviaron la confianza, ", Dijo Zhao. Para proteger verdaderamente sus aplicaciones, él dijo, Los desarrolladores deben realizar validaciones de entrada de usuario relevantes para la seguridad y enviar sus secretos a los servidores backend.

El equipo también encontró otros 4, 028 aplicaciones (aproximadamente un 2,7 por ciento) que bloquearon contenido que contenía palabras clave específicas sujetas a censura, acoso cibernético o discriminación. Que las aplicaciones pudieran limitar ciertos tipos de contenido no era sorprendente, pero la forma en que lo hicieron fue:validadas localmente en lugar de remotamente, Dijo Lin.

"En muchas plataformas, El contenido generado por el usuario puede moderarse o filtrarse antes de su publicación. " él dijo, señalando que varios sitios de redes sociales, incluyendo Facebook, Instagram y Tumblr, ya limitan el contenido que los usuarios pueden publicar en esas plataformas.

"Desafortunadamente, puede haber problemas, por ejemplo, los usuarios saben que ciertas palabras están prohibidas en la política de una plataforma, pero desconocen ejemplos de palabras que se consideran palabras prohibidas y podrían resultar en el bloqueo de contenido sin el conocimiento de los usuarios, ", dijo." Por lo tanto, los usuarios finales pueden desear aclarar las vagas políticas de contenido de la plataforma al ver ejemplos de palabras prohibidas ".

Además, él dijo, Los investigadores que estudian la censura pueden querer comprender qué términos se consideran sensibles. El equipo desarrolló una herramienta de código abierto, llamado InputScope, para ayudar a los desarrolladores a comprender las debilidades de sus aplicaciones y demostrar que el proceso de ingeniería inversa se puede automatizar por completo.