En akademisk studie som analyserade 82,501 program som var förinstallerade på 1,742 Android smartphones som säljs av 214 leverantörer konstaterade att användare är helt omedvetna om den enorma säkerhet och integritet-relaterade hot som kommer från förinstallerade program.
Forskarna fann att många av dessa förinstallerade appar har tillgång till en mycket påträngande behörigheter ur lådan, hämta och sänd data om användare för att annonsörer, och har säkerhetsbrister som ofta fortfarande ouppdaterad.
På toppen av detta, många förinstallerade appar (även kallat bloatware) kan inte tas bort, och använder även tredje part bibliotek att i hemlighet samla in användaruppgifter från godartade och oskyldigt-heter-program.
Studien är i särklass en av de mest komplexa strävanden i sitt slag, och inkluderade både en analys av enhetens firmware, app beteende, och internet-trafik appar som genereras.
Tredje parts bibliotek
En av de första saker som forskarna såg var den ständiga användningen av tredje parts bibliotek (eller software development kit –Sdk) i många förinstallerade applikationer.
Samtidigt med hjälp av ett SDK för att förenkla kodning av grundläggande uppgifter som är vanliga på webben, stationära och mobila utveckla samhället, forskare konstaterat att de mest vanligt förekommande tredje part bibliotek var alla reklam-och användarspårning-relaterade.
Forskargruppen sa att det finns 164 olika reklam Sdk inne nästan 12 000 appar och ytterligare 100 olika analytics-bibliotek inne nästan 7 000 appar.
Bild: Gamba et al.
×
imdea-sdk.png
Detta tyder på att en stor del av förinstallerade appar är att spåra användarens rätt från get-go, från den stund de vänder sig om sin nya Android-smartphone.
Problem med certifikat
Forskarna har även hittat flera hundratals förinstallerade appar som tecknats med certifikat som antingen är självsignerade, eller med en “Emittent” fältet som innehöll generiska termer som “Android” (115 appar) eller “Android Debug” (42 apps).
Användning av denna typ av generisk certifikat hindrat forskare från att ta reda på vem som har utvecklat tse-appar som ingår med de enheter som de skulle testa.
Dessutom, vissa förinstallerade appar tecknats med certifikat som hör till företag som är kända för att bedriva användare spårning –såsom Adups, AccuWeather, eller GMobi.
Behörigheter
Forskarna tittade också på tillstånd för dessa förinstallerade apps fått, och mer specifikt på “anpassade behörigheter.”
Termen “anpassade behörigheter” hänvisar till en typ av behörighetsnivå för operativsystemet Android som är inrättat av telefonens tillverkare. Leverantörer skapa egna tillstånd system i vilka de ger bulk tillgång till olika OS funktioner för pre-installed eller önskade appar.
“En uttömmande analys av anpassade behörigheter […] antyder (och i vissa fall bekräftar) förekomst av integration av tjänster och kommersiella partnerskap mellan mobiltillverkare, [mobila nätverk, operatörer], analytics-tjänster (till exempel, Baidu, IronSource, DigitalTurbine, och Facebook), och online-tjänster (till exempel, Skype, LinkedIn, Amazon, Spotify, CleanMaster, och Dropbox),” forskning laget sa.
“Vi fann också anpassat behörigheterna som är associerade med utsatta moduler (exempelvis, MediaTek) och skadliga tjänster (till exempel, Adups).”
Dessutom har forskarna även identifierat sex olika versioner av Facebook-appen, av vilka tre var aldrig tillgängliga via den officiella Google Play Store.
“Enligt användarnas klagomål, två av dessa paket (kom.facebook.appmanager-och kom.facebook.system) verkar för att automatiskt ladda ner andra Facebook program som Instagram i användarnas telefoner [1, 2].”
Bild: Gamba et al.
×
imdea-facebook.png
Men förutom anpassade behörigheter, forskare upptäckte också att många apps som också hade tillgång till alldeles för många “vanliga” tillstånd, som den förinstallerade appar som inte nödvändigtvis använder sig av och teoretiskt skulle kvarstå som en öppen dörr för framtida missbruk.
Till exempel, fann forskarna 55 förinstallerade appar som beviljades tillgång till mer än 100 behörigheter, med en app (kom.cube26.coolstore) att ha tillgång till 144 tillstånd, medan en annan app (kom.jrdcom.Elabel) med 145 behörigheter.
Enligt forskare är den som används mest tillstånd bland appar som också bädda in en tredje part SDK finns tillstånd för att läsa systemloggar, följt av möjligheten att montera/avmontera lagringsutrymme och möjlighet att installera andra program.
Bild: Gamba et al.
×
imdea-behörigheter.png
Utsatta app komponenter
Akademiker har också tittat på förinstallerade appar som utsatt sina interna komponenter till andra program via en Android-inter-app kommunikation mekanism är känt som “uppsåt”.
Forskarna sade att det 82,501 appar de analyseras, 6,849 vänster interna komponenter som utsätts för externa frågor av andra appar som är installerade på samma enhet, och, i sig, så exponeras sina uppgifter och behörighet till lägre privilegierade apps-en väl dokumenterade angrepp.
Användaren insamling av data
Forskargruppen tog också en fin tand kam att 3,118 förinstallerade program och analyserat beteendet hos dessa program och den data de har tillgång till.
Deras resultat visade att de allra flesta av förinstallerade appar kodades att få tillgång till enheten loggar, få en lista över lokala installerade appar, få nätverk inställningar, eller hade förmågan att köra native kod.
Bild: Gamba et al.
×
imdea-pi.png
Vidare har forskare tittat på vilka domäner dessa program meddelas med. Resultaten av denna fråga var inte förvånande, eftersom de flesta förinstallerade appar rapporterade tillbaka till reklam-och analytics-leverantörer, såsom Alfabetet (Googles moderbolaget), Facebook och Amazon.
Bild: Gamba et al.
×
imdea-domäner.png
Alla forskare säger att nästan alla appar som kan komma åt och samla in användaruppgifter för att aktivt använda denna tillgång för att skicka data till tredje parts servrar.
“Vi observerade också fall av hårdvara och nätverk fingeravtryck kapacitet, ofta samlas under begreppet” enhet förmåga, ” och även analytics för att spåra installation och borttagning av program (i synnerhet nyheter apps,som de som gjorts av CNBC, The Daily Beast, Bloomberg, TechCrunch, och Ekonom, bland andra),” forskarna säger. “Mer påträngande beteenden inkluderar apps kunna samla in och skicka e-post och telefonsamtal metadata.”
Förinstallerade malware
Forskargruppen analys visade också vissa fall kanten. Till exempel, fann forskarna fall av känd skadlig kod i systemet delning av vissa enheter, främst i low-end smartphones, men också i några high-end-telefoner.
“Vi identifierade varianter av kända Android-malware familjer som har varit förhärskande under de senaste åren, bland annat Triada, Rootnik, SnowFox, Xinyin, Ztorg, Iop, och tvivelaktig programvara som utvecklats av GMobi,” forskarna säger.
Dessutom har forskarna också funnit en hemlighetsfull insamling av data service lägga in en FOTA (firmware-over-the-air-uppdateringen för mekanism har utvecklats av Redstone Solsken Technology Co., Ltd..
“Den här appen innehåller en tjänst som kan samla in och sprida massor av uppgifter, inklusive både användar-och identifieringsuppgifter, beteendemässiga information (räknas av SMS och samtal skickas och tas emot, och statistik om nätverk flöden) och användning av statistik och resultat information förinstallerade paket,” forskarna säger. “Vi betona att de uppgifter som samlas in är inte bara anmärkningsvärt omfattande, men också väldigt långt ifrån att vara anonym eftersom det är kopplat till flera användare och enhet identiteter.”
Och sist, men inte minst, har forskarna även identifierat 612 förinstallerade appar som ingår fabrik/ingenjörsmässigt kod som beviljats appar extremt djup åtkomst till enheten och dess operativsystem.
De flesta av dessa fabriks – /teknik-relaterade funktioner var ofarliga, forskare, såsom hårdvara tester, men en del av koden kan också rot-enheter.
Uppsats
“Som vi visat i denna uppsats, denna situation har blivit en fara för användarnas integritet och även säkerhet på grund av missbruk av förmånen, som i fallet med förinstallerade skadlig kod, eller som en följd av dålig software engineering praxis att införa sårbarheter och farliga bakdörrar,” den forskargrupp som ingåtts om tillståndet för Android förinstallerade appar.
“Trots att ett helt år av ansträngningar, kunde vi bara skrapa på ytan av ett mycket större problem,” tillade de. “Detta arbete är därför undersökande, och vi hoppas att det kommer att ge mer uppmärksamhet till de förinstallerade Android-programvara ekosystem och dess inverkan på användarnas integritet och säkerhet.”
Mer information om deras forskning finns i en akademisk uppsats som heter “En Analys av Förinstallerade Android-Programvara” som kommer att presenteras på IEEE Symposium om Säkerhet och Integritet i slutet av Maj 2019.
Relaterade it-säkerhet täckning:
Tesla bilen hacka på Pwn2Own contestAndroid Q för att få massor av nya säkerhetsfunktioner
Forskare finner 36 nya säkerhetsbrister i LTE protocolOver 100,000 GitHub repor ha läckt API eller kryptografiska keysSevere säkerhet bugg som finns i populära PHP-bibliotek för att skapa PDF-filesHacked tornado sirener tas offline i två Texas städer inför större storm
Android ‘API bryta sårbarhet läcker enhet data, kan användare spåra TechRepublicAndroid säkerhet program har hjälpt till att fixa över 1 MILJON appar i Google Play CNET
Relaterade Ämnen:
Rörlighet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter