کشف آسیب پذیری «بک دور» در بیش از ۱۲ هزار اپلیکیشن اندرویدی

یک تحقیق آکادمیک نشان می‌دهد بیش از ۱۲ هزار اپلیکیشن سیستم عامل اندروید، آسیب پذیری در پشتی (بک دور) دارند که ۶۸۰۰ مورد آن، در پلی استور منتشر شده است.

محققان در اروپا و ایالات متحده آمریکا ابزاری به نام InputScope را توسعه داده‌اند که از آن برای تحلیل فرم ورودی موجود در بیش از ۱۵۰ هزار اپ اندرویدی استفاده شده. در این تحقیق، ۱۰۰ هزار برنامه محبوب بر اساس تعداد دانلود در پلی استور، ۲۰ هزار اپلیکیشن محبوب در دیگر فروشگاه‌های اپلیکیشن و ۳۰ هزار برنامه پیش فرض محصولات سامسونگ مورد بررسی قرار گرفته است.

بررسی صورت گرفته نشان داده که ۱۲,۷۰۶ اپ حاوی نوعی از آسیب پذیری در پشتی مانند کلیدهای دسترسی مخفی، مستر پسورد و دستورات مخفی هستند. مکانیزم در پشتی به مهاجمان اجازه می‌دهد که به حساب کاربران دسترسی پیدا کنند. اگر مهاجم دسترسی فیزیکی به دستگاه داشته باشد و یکی از این برنامه‌ها روی آن نصب شده باشد، می‌تواند کد خاصی را روی آن اجرا کند که نتیجه آن، دسترسی بیشتر است.

آسیب‌پذیری در پشتی

بر اساس این تحقیق، یکی از محبوب‌ترین برنامه‌های ریموت کنترل با ۱۰ میلیون نصب، مستر پسورد دارد که می‌تواند حتی در صورت گم شدن دستگاه و قفل بودن آن، همچنان به اطلاعات دسترسی پیدا کند. یکی از اپ‌های محبوب در زمینه قفل دستگاه با ۵ میلیون نصب نیز از کلید برای ریست خودسرانه کاربران استفاده می‌کند.

یک اپ استریم زنده با ۵ میلیون نصب حاوی یک کلید دسترسی برای ورود به رابط اصلی است که مهاجم می‌تواند توسط آن اپلیکیشن را دوباره پیکربندی و عملکردهای اضافه را آنلاک کند. یک اپ ترجمه با ۱ میلیون دانلود، یک کلید مخفی دارد که توسط آن می‌توان پرداخت‌های درون برنامه را دور زد و همچنین مانع از نمایش تبلیغات شد.

از نتایج تحقیق این تیم می‌توان چنین برداشت کرد که برخی از آسیب‌پذیری‌ها می‌توانند امنیت کاربران و همچنین اطلاعات آن‌ها را در معرض خطر قرار دهند، اما تعدادی از آن‌ها خطرناک نیستند و به صورت تصادفی درون اپ قرار گرفته‌اند.

در حالت کلی ۶۸۰۰ برنامه در پلی استور، بیش از ۱۰۰۰ برنامه در فروشگاه‌های دیگر و تقریبا ۴۸۰۰ برنامه پیش فرض در محصولات سامسونگ با مشکل آسیب‌پذیری در پشتی دست و پنجه نرم می‌کنند. باید به این نکته اشاره کنیم که اپلیکیشن‌های محصولات سامسونگ، توسط اپراتورها نصب شده‌اند، بنابراین این مشکل در بسیاری کشورها مانند ایران مطرح نیست.