Dezenas de milhares de aplicativos para Android possuem uma entrada secreta que pode ser explorada pelos fabricantes, ou de alguma forma monitoram o que o usuário digita, conforme observaram pesquisadores da Ohio State University, da Universidade de Nova York e do Centro Helmholtz de Segurança da Informação.
Em um levantamento feito em 150 mil apps – entre os mais populares e alguns pré-instalados – os especialistas descobriram que 12.706 exibiram uma série de comportamentos indicando a presença de backdoors (chaves de acesso secretas, senhas mestras e comandos secretos), além de outros 4.028 que pareciam verificar se o usuário digitou palavras que estavam em uma lista negra, como nomes de líderes políticos, incidentes nos noticiários e discriminação racial.
Para encontrar essas brechas de privacidade nos aplicativos, os pesquisadores desenvolveram uma ferramenta, a Inputscope, que detecta automaticamente o contexto de execução da validação de entrada do usuário e o conteúdo envolvido na validação, para expor automaticamente os segredos dos aplicativos. O estudo completo pode ser lido aqui.
A Inputscope foi testada em 100 mil dos mais populares apps do Google Play em abril de 2019, bem como em mais 30 mil aplicativos pré-instalados em dispositivos Samsung e 20 mil retirados do mercado chinês Baidu. O estudo examinou duas questões: qual a proporção de aplicativos que exibiam comportamentos secretos e como eles podem ser usados.
Google Play e Baidu possuem aproximadamente a mesma porcentagem de aplicativos “bisbilhoteiros”, 6,8% e 5,3%, respectivamente. Curiosamente, para aplicativos pré-instalados, os famosos “bloatware”, a porcentagem que mostra esse comportamento foi mais que o dobro das outras fontes: 16%.
Qual o estrago que esses aplicativos, se mal utilizados, podem causar? Os pesquisadores examinaram manualmente vários deles e descobriram que um em particular, que possui mais de 10 milhões de instalações, contém uma senha mestra que pode desbloquear remotamente o acesso mesmo quando o smartphone está bloqueado pelo proprietário.
Outro app, com 5 milhões de instalações, usa uma chave de acesso para redefinir as senhas de usuários de maneira arbitrária, desbloquear a tela e entrar no sistema. “Além disso, também descobrimos que um aplicativo de transmissão ao vivo (com 5 milhões de instalações) contém uma chave de acesso para entrar na interface do administrador, através da qual um invasor pode reconfigurar o aplicativo e desbloquear funcionalidades adicionais”, afirma o relatório.
Via: NakedSecurity