Taakka tiedonjakosivusto – seuraa aikamme ilmiöitä

Android täynnä takaportteja

Järkyttävä tulos: nerokkaan menetelmän keksineet tutkijat löysivät takaportteja lähes 13 000 mobiilisovelluksesta

Miltei 10 prosentista Android-sovelluksia löytyi takaportti, joka antaa ohittaa salasanan, sivuuttaa maksun tai antaa käyttöön uusia ominaisuuksia. Tulos keksittiin 150 000 sovelluksen automatisoidulla takaisinmallintamisella.

Artikkeliin liittyvä kuva
Artikkeliin liittyvä kuva

Joukko tietoturvatutkijoita Ohion valtionyliopistosta Yhdysvalloista on löytänyt lähes 13 000 mobiilisovelluksesta yhden tai useampia takaportteja, eli piilotettuja ominaisuuksia, joita käyttäen voidaan esimerkiksi ohittaa salasanan antaminen ja ottaa sovellus haltuun.

Apulaisprofessori Zhiqiang Lin alaisineen löysi paitsi salasanan ohittavia, myös lisää käyttöoikeuksia antavia ja maksutapahtuman sivuuttavia takaportteja.

Takaportit aktivoituvat tyypillisesti tietynlaisen toimintosarjan seurauksena, mutta Linin ryhmän ei tarvinnut turvautua umpimähkäiseen naputteluun. Sen sijasta he onnistuivat kehittämään automaattisen takaisinmallinnusjärjestelmän, jonka avulla he saivat purettua auki 150 000 Android-sovelluksen koko toiminnan.

Ohjelmista 100 000 valittiin Google Play -kaupan suosion mukaan ja 50 000 muuten. Takaportteja löytyi täsmälleen 12 706 sovelluksesta, mikä on reilu 8 prosenttia kaikista.

Tutkijat huomauttavat yliopiston lehdistötiedotteessa, että takaporteista vastuussa olevat sovellusten kehittäjät eivät useinkaan ota riittävän vakavissaan sitä vaihtoehtoa, että joku takaisinmallintaa heidän ohjelmansa ja löytää takaportin. Jos takaportti päätyy rikollisiin käsiin, siitä voi olla vahinkoa myös sovelluskehittäjille itselleen eikä pelkästään käyttäjille, joiden tietoihin koodarit ovat jättäneet epäreilun pääsyn.

Tämän lisäksi 4028 sovellukseen oli piilotettu erityinen kiellettyjen sanojen lista. Tämä tarkoittaa, että sovellus sensuroi tiettyjä sanoja suoraan päätelaitteen tasolla eikä esimerkiksi sopimatonta sisältöä koskevien ilmiantojen perusteella.

Linin ja kollegoiden tutkimus on hyväksytty esitettäväksi kansainvälisen sähkötekniikan järjestö IEEE:n konferenssissa toukokuussa. Koronaviruksesta johtuen kokous pidetään etänä.

LÄHDE: TIVI/Tuomas Kangasniemi 09.04.2020