今週公開された包括的な学術研究により、12,700を超えるAndroidアプリケーションで、シークレットアクセスキー、マスターパスワード、シークレットコマンドなどの隠されたバックドアのような動作が発見されました。

この隠された振る舞いを発見するために、ヨーロッパとアメリカの学者たちは、150,000を超えるAndroidアプリケーション内にある入力フォームフィールドを分析するために使用した、InputScopeというカスタムツールを開発しました。

より正確には、学者は上位100,000万個のPlayストアアプリ（インストール数に基づく）、サードパーティのアプリストアでホストされている上位20,000個のアプリ、およびSamsungハンドセットにプレインストールされた30,000個を超えるアプリを分析しました。

「私たちの評価は懸念される状況を明らかにしました」と研究チームは言った。 「シークレットアクセスキー、マスターパスワード、シークレットコマンドなど、さまざまなバックドアを含む12,706のアプリを特定しました。」

研究者によると、これらの隠されたバックドアメカニズムにより、攻撃者はユーザーのアカウントに不正アクセスする可能性があります。 さらに、攻撃者がデバイスに物理的にアクセスでき、これらのアプリのXNUMXつがインストールされている場合、攻撃者に電話へのアクセスを許可したり、デバイスでコードを実行することを許可したりできます（非表示の秘密コマンドがアプリの入力フィールド）。

隠されたバックドアのようなメカニズムのいくつかの例

「そのようなケースは架空のものではない」と研究チームは特定の例を挙げながら述べた。

「いくつかのモバイルアプリを手動で調べたところ、人気のあるリモートコントロールアプリ（インストール10万回）には、デバイスを紛失したときに電話の所有者がリモートでロックした場合でもアクセスをロック解除できるマスターパスワードが含まれていることがわかりました。」

一方、人気の画面ロッカーアプリ（インストール数5万）がアクセスキーを使用して任意のユーザーのパスワードをリセットし、画面のロックを解除してシステムに入るということも発見しました。

「さらに、ライブストリーミングアプリ（インストール数5万）には、管理者インターフェイスにアクセスするためのアクセスキーが含まれており、それを介して攻撃者がアプリを再構成し、追加機能のロックを解除できることもわかりました。

「最後に、人気の翻訳アプリ（1万インストール）には、アプリに表示された広告を削除するなどの高度なサービスの支払いを回避するための秘密鍵が含まれていることがわかりました。

調査チームが提供した例からわかるように、一部の問題は明らかにユーザーの安全とデバイスに保存されているデータに危険をもたらしますが、他の問題は無害なイースターエッグや誤って製品にしたデバッグ機能でした。

研究者によると、Playストアでバックドア/機能が隠されたアプリは合計で6,800以上、サードパーティのストアでは1,000以上、Samsungデバイスにプリインストールされているアプリは4,800近くあります。

研究チームは、隠れた動作やバックドアのようなメカニズムを見つけたすべてのアプリ開発者に通知したと述べました。 ただし、すべてのアプリ開発者が応答したわけではありません。

その結果、チームのホワイトペーパーで例として提供された一部のアプリは、ユーザーを保護するために名前が編集されました。

研究の詳細については、「モバイルアプリでの入力検証からの隠された動作の自動検出」、オハイオ州立大学、ニューヨーク大学、CISPAヘルムホルツ情報セキュリティセンター（ドイツ）の研究者によって発行されました。

InputScoreツールはAndroidアプリ内の入力フィールドを分析したため、この調査の副作用として、アカデミックチームは隠された悪意のある単語フィルターまたは政治的動機付けのブラックリストを採用しているアプリも発見したことです。 全体として、研究者らは入力ブラックリストを特徴とする4,028のAndroidアプリを発見したと述べています。

出典：https://www.zdnet.com/article/12k-android-apps-contain-master-passwords-secret-access-keys-secret-commands/#ftag=RSSbaffb68