Анализ лучших 100 000 приложений для Android выявил десятки тысяч связей между ними, которые преследуют цель кражи данных.
Автор: Кава Уоддел
Представьте себе двух сотрудников, работающих в крупном банке: аналитика, который обрабатывает конфиденциальную финансовую информацию и курьера, осуществляющего доставку за пределы компании. В течение рабочего дня внешне ничего необычного не происходит. Аналитик анализирует; курьер доставляет. Но на самом деле оба занимаются кое-чем гнусным. В комнате отдыха аналитик спокойно передаёт некоторые секретные финансовые данные курьеру, который относит их в конкурирующий банк.
Теперь представьте, что банк – это ваш Android-смартфон. Сотрудники — это приложения, а конфиденциальная информация — ваше местоположение.
Как и у вышеупомянутые сотрудники, пары приложений Android, установленных на одном смартфоне, вступают в сговор друг с другом для извлечения информации о пользователе телефона, и эту связь бывает трудно обнаружить. С выявлением воров нет проблем, когда подобным занимается одно приложение, но когда два работают в команде, то бывает так, что по отдельности ни одно из них не находится вне подозрений. И из-за огромного количества возможных их комбинаций установление подобных связей – очень сложная задача.
Исследование, опубликованное на прошлой неделе, представило новый способ решения этой проблемы — и обнаружило более 20 000 пар приложений, которые воруют данные. Четыре исследователя из Virginia Tech создали систему, которая вникает в архитектуру приложений Android, чтобы понять, как они обмениваются информацией с другими программами на одном и том же телефоне. Их система — DIALDroid — имитирует взаимодействие приложений и выявляет их возможную связь с целью воровства данных.
Когда исследователи протестировали DIALDroid на 100206 наиболее загружаемых Android-приложениях, они обнаружили 23 500 пары, которые воруют данные. Более 16 700 из этих пар требуют расширения привилегий на аппарате, а это значит, что второе приложение получает конфиденциальную информацию, доступ к которой ему обычно запрещён.
В качестве яркого примера в исследовании приводится приложение, которое напоминает мусульманам о времени молитвы. Оно получает доступ к местоположению пользователя и делает его доступным для других программ на смартфоне. В результате к данной информации могут получить доступ более более 1500 приложений, из которых 39 могут передать его в потенциально опасное место.
Относительно небольшие группы небезопасных приложений образуют огромное количество опасных связей. В 16700 связей между приложениями, которые получили расширенные привилегии, было задействовано одно из 33 приложений, отправлявших данные внешним источникам. В 6700 парах, собиравших данные без расширения привилегий, таких приложений было минимум одно из 21 приложений. Двадцать вредоносных приложений были в обеих категориях. Проблемные приложения появлялись в различных разделах: от развлечений и спорта до фототехники и транспортных приложений.
Утечки происходили не всегда преднамеренно — и очень трудно поддавались обнаружению. Но независимо от цели, утечка конфиденциальной информации без разрешения пользователя несёт в себе потенциал для злоупотреблений.
Иногда только одно приложение в паре может преследовать цель нанести вред. Оно может воспользоваться недостатком безопасности другой программы для кражи данных и передачи их на удалённый сервер. Не являются редкостью случаи, когда в результате ошибок в коде данные одного приложения становятся доступны для другого.
Исследование показало, что местоположение смартфона – наиболее часто похищаемая информация. Тем не менее другие данные, такие как информация о сетях, к которым подключается смартфон, отслеживание действий пользователя с аппаратом в течение долгого времени также может представлять для злоумышленников интерес.
Анализ Virginia Tech свидетельствует, что почти половина утечек данных происходит из записей данных в лог-файл. Обычно подобная информация доступна только приложению, которое создаёт этот лог, но ряд злонамеренных программ могут также получать к нему доступ, что представляет опасность. Другие, более опасные приложения сразу отправляют данные с телефона через Интернет или даже по SMS. Шестнадцать приложений-отправителей и 32 приложения-получателя использовали дополнительные разрешения чтобы отправить информацию одним из этих двух способов.
Оригинал: TheAtlantic