В частности 7584 приложений включали встроенные секретные ключи доступа, 501 — встроенные мастер-пароли и 6013 — скрытые команды. Проблемные приложения встречаются во всех рассмотренных источниках программ — в процентном соотношении бэкдоры были выявлены в 6.86% (6860) изученных программ из Google Play, в 5.32% (1064) из сторонних каталогах и в 15.96% (4788) из списка предустанавливаемых приложений. Выявленные бэкдоры позволяют любому, кто знает ключи, пароли активации и последовательности для вызова команд, получить доступ к приложению и всем связанным с ним данным.
Например, в приложении для потокового вещания спортивных матчей, имеющем 5 млн установок, обнаружен встроенный ключ для входа в интерфейс администратора, дающий изменить настройки приложения и получить доступ к дополнительной функциональности. В приложений для блокировки экрана, насчитывающем 5 млн установок, найден ключ доступа, позволяющий сбросить пароль, выставляемый пользователем для блокировки устройства. В программе-переводчике, насчитывающей 1 млн установок, присутствует ключ, позволяющий совершать внутри приложения покупки и обновить программу до pro-версии без фактической оплаты.
В программе удалённого управления потерянным устройством, насчитывающей 10 млн установок, выявлен мастер-пароль, дающий возможность снять блокировку, установленную пользователем на случай потери аппарата. В программе для ведения записной книжки найден мастер-пароль, позволяющий разблокировать секретные заметки. Во многих приложениях также выявлены отладочные режимы, открывающие доступ к низкоуровневым возможностям, например, в приложении для совершения покупок при вводе определённой комбинации запускался прокси-сервер, а в обучающей программе была возможность обхода прохождения тестов.
Кроме бэкдоров, в 4028 (2.7%) приложениях выявлено наличие чёрных списков, применяемых для цензурирования поступающей от пользователя информации. Применяемые чёрные списки содержат наборы запрещённых для упоминания слов, включая имена политических партий и политиков, типовые фразы, употребляемые для запугивания и дискриминации определённых слоёв населения. Чёрные списки выявлены в 1.98% изученных программ из Google Play, в 4.46% из сторонних каталогах и в 3.87% из списка предустанавливаемых приложений.
Для проведения анализа использован созданный исследователями инструментарий InputScope, код которого в ближайшее время будет опубликован на GitHub (ранее исследователи уже опубликовали статический анализатор LeakScope, который автоматически выявляет утечки информации в приложениях).
Источник: http://www.opennet.ru/opennews/art.shtml?num=52677