En akademisk undersøgelse, der analyserede 82,501 apps, der var pre-installeret på 1,742 Android-smartphones, der sælges af 214 leverandører, der er indgået, at brugerne er aldeles uvidende om den enorme sikkerhed og privacy-relaterede trusler, der kommer fra præ-installerede applikationer.
Forskerne fandt, at mange af disse pre-installerede apps har adgang til meget påtrængende tilladelser ud af boksen, for at indsamle og sende data om brugerne til annoncører, og har sikkerhedshuller, der ofte forbliver uændrede.
På toppen af dette, har mange præ-installerede apps (også omtalt som bloatware) kan ikke blive fjernet, og bruger også tredjeparts biblioteker, der hemmeligt indsamle brugerdata fra godartede-leder og uskyldigt-opkaldt applikationer.
Undersøgelsen er langt, et af de mest komplekse bestræbelser af sin slags, og omfattede både en analyse af enhedens firmware, app adfærd, og internet-trafik, de apps, der genereres.
Tredjeparts biblioteker
En af de første ting, som forskerne opdagede var den uophørlige brug af tredjeparts biblioteker (eller software development kits (sdk –sdk ‘ er) inden for mange præ-installerede applikationer.
Mens du bruger en SDK til at forenkle kodning af grundlæggende opgaver er hverdagskost i forbindelse med web, desktop og mobile udvikling, fællesskab, forskere bemærkes, at den hyppigst forekommende tredje-parts biblioteker blev alle reklamer og bruger tracking-relateret.
Forskerholdet, der sagde, at det fandt 164 forskellige reklame-sdk ‘ er inde i næsten 12.000 apps og yderligere 100 forskellige analyser biblioteker inde i næsten 7 000 apps.
Billede: Gamba et al.
×
imdea-sdk ‘ er.png
Dette tyder på, at en stor bid af præ-installerede apps, er tracking-brugere lige fra get-go, fra det øjeblik, de bliver på deres helt nye Android-smartphone.
Problemer med certifikater
Forskerholdet fandt også flere hundredvis af præ-installerede apps, som var underskrevet med certifikater, der var enten self-signed, eller fremhævede en “Udsteder” – feltet, der indeholdt generiske begreber som “Android” (115 apps) eller “Android Debug” (42-apps).
Brug af denne type af generiske certifikater forhindret efterforskere fra at finde ud af, hvem der er udviklet tse-apps, der blev følger med de enheder, som de testede.
Desuden, nogle pre-installerede apps, der er indgået med certifikater, der tilhører virksomheder, der er kendt for at engagere sig i brugersporing –som Adups, AccuWeather, eller GMobi.
Tilladelser
Forskerne så også på de tilladelser, at disse pre-installerede apps, der er modtaget, og især på “permissions.”
Udtrykket “permissions” refererer til en type af tilladelse niveau for Android-operativsystem, der er sat op af telefon-producenter. Leverandører skabe brugerdefinerede tilladelse ordninger, hvor de giver bulk adgang til forskellige OS har for pre-installeret eller foretrukne apps.
“En udtømmende analyse af brugerdefinerede tilladelser […] tyder på, (og i nogle tilfælde bekræfter) tilstedeværelsen af service integration og kommercielle partnerskaber mellem håndsæt leverandører, [mobilselskaber], analytics (fx, Baidu, IronSource, DigitalTurbine, og Facebook), og online-tjenester (fx, Skype, LinkedIn, Amazon, Spotify, CleanMaster, og Dropbox),” forskning holdet.
“Vi har også fundet brugerdefinerede tilladelser, der er forbundet med sårbare moduler (fx MediaTek) og skadelig tjenester (fx, Adups).”
Desuden, forskere også identificeret seks forskellige versioner af Facebook app ‘ en, tre, som aldrig var til rådighed via den officielle Google Play-Butikken.
“Ifølge klager fra brugere, to af disse pakker (com.facebook.appmanager-og kom.facebook.systemet) synes til automatisk at hente andre Facebook-software såsom Instagram i brugernes telefoner [1, 2].”
Billede: Gamba et al.
×
imdea-facebook.png
Men ud over brugerdefinerede tilladelser, forskerne opdagede også, at mange apps, som også havde adgang til alt for mange “standard” tilladelser, som de pre-installerede apps ikke nødvendigvis brug og teoretisk set ville forblive som en åben dør for misbrug i fremtiden.
For eksempel, fandt forskerne, 55 pre-installerede apps, som fik adgang til mere end 100 tilladelser, med en app (com.cube26.coolstore), der har adgang til 144 tilladelser, mens en anden app (com.jrdcom.Elabel), der har 145 tilladelser.
Ifølge forskerne, er de mest anvendte tilladelse blandt apps, der også integrere en tredjepart SDK er tilladelse til at læse systemets logfiler, efterfulgt af evnen til at montere/afmontere lagerplads, og muligheden for at installere andre apps.
Billede: Gamba et al.
×
imdea-tilladelser.png
Udsat app komponenter
Akademikere har også set på pre-installerede apps, som udsatte deres interne komponenter til andre apps via en Android-inter-app kommunikation mekanisme, der er kendt som “hensigt”.
Forskerne sagde, at de 82,501 de apps analyseret, 6,849 venstre interne komponenter udsat for eksterne forespørgsler fra andre apps, der er installeret på den samme enhed, og, i sagens natur, udsat for alle deres funktioner og tilladelser til lavere privilegeret apps-en veldokumenteret angreb.
Indsamling af brugerdata
Forskerholdet fandt også en bøde tand kam til at 3,118 pre-installerede programmer og analyseret adfærd af disse apps, og de data, de havde adgang til.
Deres resultater fundet, at langt størstedelen af præ-installerede apps, som var kodet til at få adgang til enheden logs, få en liste over lokale installerede apps, få netværk, indstillinger, eller havde mulighed for at køre native kode.
Billede: Gamba et al.
×
imdea-personlige oplysninger.png
Yderligere, forskere set på, hvad domæner disse apps, der kommunikeres med. Resultaterne af denne forespørgsel var ikke overraskende, da de fleste pre-installerede apps, rapporterede tilbage til reklame-og analytics-leverandører såsom Alfabet (Google ‘ s moderselskab), Facebook og Amazon.
Billede: Gamba et al.
×
imdea-domæner.png
Alt i alt, forskere sagde, at næsten alle apps der var i stand til at få adgang til og indsamling af brugerdata var aktivt bruger denne adgang til at sende data til tredje-parts servere.
“Vi har også observeret tilfælde af hardware og netværk fingeraftryk kapacitet, ofte samlet under betegnelsen” enhed kapacitet, ” og desuden analytics service at spore installation og fjernelse af programmer (især nyheder apps,såsom dem, der foretages af CNBC, The Daily Beast, Bloomberg, TechCrunch, og The Economist, blandt andre),” siger forskerne. “Mere påtrængende adfærd omfatter apps i stand til at indsamle og sende e-mail og telefonopkald metadata.”
Pre-installeret malware
Forskerholdet analyse viste også, at nogle kant tilfælde. For eksempel, forskere fundet forekomster af kendte malware i systemet partition af nogle enheder, for det meste i low-end smartphones, men også i nogle high-end telefoner.
“Vi identificerede varianter af kendte Android malware familier, der har været fremherskende i de sidste par år, herunder Triada, Rootnik, SnowFox, Xinyin, Ztorg, Iop, og tvivlsom software, der er udviklet af GMobi,” siger forskerne.
Hertil kommer, at forskere også fundet en hemmelighedsfuld data collection service sætte inde i en FOTA (firmware over the air) opdatering mekanisme, der er udviklet af Redstone Solskin Technology Co., Ltd..
“Denne app indeholder en tjeneste, der kan samle og formidle snesevis af data elementer, herunder både bruger-og enheds-id’ erne, adfærdsmæssige oplysninger (tællinger af SMS og opkald, der er sendt og modtaget, og statistik om netværk strømme) og anvendelse af statistik og oplysninger om præstation forudinstalleret pakke,” siger forskerne. “Vi lægger vægt på, at de indsamlede data er ikke kun bemærkelsesværdigt omfattende, men også meget langt væk fra at være anonyme, da det er knyttet til flere brugere og enheder identiteter.”
Og sidst, men ikke mindst, forskere også identificeret 612 pre-installerede apps, som i prisen fabrik/teknik-relateret kode, der ydes af de apps, meget dybt adgang til enheden og dens styresystem.
De fleste af disse fabrikken/teknik-relaterede funktioner var harmløse, siger forskerne, såsom hardware tests, men nogle af de kode kan også rod enheder.
Forskning papir
“Som vi viste i dette papir, er denne situation er blevet en fare for brugernes privatliv og endda sikkerhed på grund af et misbrug af rettigheder, såsom i tilfælde af præ-installeret malware, eller som et resultat af dårlig software engineering praksis at indføre sårbarheder og farlige bagdøre,” forskerholdet konkluderede, om staten Android er pre-installeret apps.
“På trods af et helt års bestræbelser, vi var kun i stand til at ridse overfladen af et meget større problem,” tilføjer de. “Dette arbejde er derfor udforskende, og vi håber, det vil give mere opmærksomhed til den pre-installeret Android-software-økosystem og dets indvirkning på brugernes privatliv og sikkerhed.”
Flere detaljer om deres forskning er tilgængelige i et akademisk papir med navnet “En Analyse af Pre-installeret Android-Software”, der vil blive præsenteret på IEEE Symposium om Sikkerhed og Privatlivets fred i slutningen af Maj 2019.
Relaterede cyber-sikkerhed dækning:
Tesla bil hacket på Pwn2Own contestAndroid Q for at få et væld af nye funktioner
Forskerne finde ud af 36 nye sikkerhedshuller i LTE protocolOver 100,000 GitHub genkøbsforretninger har lækket API eller kryptografiske keysSevere sikkerhed bug findes i populære PHP-bibliotek til at oprette PDF-filesHacked tornado sirener taget offline i to Texas byer forud for større storm
Android ‘API bryde’ sårbarhed utætheder enhed data, giver brugeren mulighed for tracking TechRepublicAndroid sikkerhed program har hjulpet med at løse over 1M apps i Google Play CNET
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre