某些手机​​应用可能包含用户从未见过的隐藏行为

一组网络安全研究人员发现，大量手机应用程序包含硬编码的机密，从而允许其他人访问私人数据或阻止用户提供的内容。

这项研究的高级作者，俄亥俄州立大学计算机科学与工程副教授林志强说，该研究的结果是：手机上的应用程序可能具有隐藏或有害的行为，而最终用户对此一无所知。

该研究已于5月的2020 IEEE安全和隐私研讨会上接受发表。由于全球冠状病毒（COVID-19）爆发，该会议已在线上进行。

Lin说，通常，移动应用通过处理和响应用户输入来与用户互动。例如，用户经常需要键入某些单词或句子，或者单击按钮和幻灯片屏幕。这些输入提示应用程序执行不同的操作。

对于这项研究，研究团队评估了150,000个应用程序。他们根据从Google Play商店下载的次数选择了前100,000个，从其他市场选择了前20,000个，并从Android智能手机上预安装的应用中选择了30,000个。

他们发现，这些应用程序中有12,706个（约占8.5％）包含被研究团队标记为“后门机密”的东西-应用程序内的隐藏行为，它们接受某些类型的内容以触发常规用户未知的行为。他们还发现某些应用程序具有内置的“主密码”，使用该密码的任何人都可以访问该应用程序以及其中包含的任何私人数据。他们发现，某些应用程序具有秘密的访问密钥，这些密钥可能触发隐藏的选项，包括绕过付款。

林说：“如果一个坏人获得了这些“后门秘密”，那么用户和开发人员都将面临风险。”他说，实际上，有动机的攻击者可以对移动应用进行反向工程以发现它们。

俄亥俄州立大学的研究生研究助理，该研究的主要作者赵庆川说，开发人员经常错误地认为对其应用程序进行反向工程不是合法的威胁。

“移动应用程序包含这些“后门秘密”的关键原因是开发人员放错了信任关系，”赵说。他说，要真正保护其应用程序安全，开发人员需要执行与安全性相关的用户输入验证，并将其机密信息推送到后端服务器上。

该团队还发现了另外4,028个应用程序（约占2.7％），阻止了包含受审查，网络欺凌或歧视的特定关键字的内容。 Lin说，这些应用程序可能会限制某些类型的内容不足为奇-但是它们的处理方式是：在本地而非远程进行验证。

他说：“在许多平台上，用户生成的内容可能要在发布之前进行审核或过滤。”他指出，包括Facebook，Instagram和Tumblr在内的数个社交媒体网站已经限制了用户在这些平台上发布的内容。

“不幸的是，可能存在问题-例如，用户知道平台政策禁止使用某些单词，但他们没有意识到被视为被禁止的单词的示例，并可能导致在用户不知情的情况下阻止内容， “ 他说。 “因此，最终用户可能希望通过查看被禁词的示例来澄清含糊的平台内容政策。”

他说，此外，研究审查制度的研究人员可能希望了解哪些术语被认为是敏感的。该团队开发了一个名为InputScope的开源工具，以帮助开发人员了解其应用程序中的弱点，并证明逆向工程过程可以完全自动化。

有所作为：赞助机会

故事来源：

用料 由…提供 俄亥俄州立大学。劳拉·阿伦斯基尔德（Laura Arenschield）撰写的原著。注意：可以编辑内容的样式和长度。