Các nhà nghiên cứu đã tìm thấy hàng ngàn khóa bảo mật trong những ứng dụng của Android

Diem Do

Columbia Engineering team finds thousands of secret keys in Android apps

Một vài khóa bí mật bao gồm Facebook và Linkedln được khám phá bởi PlayDrone, một công cụ được phát triển bởi những nhà nghiên cứu Kĩ thuật Columbia sử dụng công nghệ tấn công để phá vỡ bảo mật của Google để tải về thành công những ứng dụng Google Play và khôi phục lại những nguồn của họ.

 

Trong một báo cáo đã được trình bày và được nhận giải thưởng uy tín của Giải thưởng Sinh viên nổi bật Ken Sevcik tại hội nghị  ACM SIGMETRICS vào tháng 18/6, Jason Nieh, một giáo sư chuyên gia máy tính tại Viện Kỹ thuật  Columbia, và ứng cử viên tiến sĩ  Nicolas Viennot đã báo cáo rằng họ đã và đang khám phá về  một vấn đề bảo mật quan trọng trong Google Play, cửa hàng ứng dụng Android chính thức nơi mà hàng triệu người dùng sử dụng Android, một nền tảng di động phổ biến nhất áp dụng trên những ứng dụng của họ.

Google Play có hơn một triệu ứng dụng và trên 500 tỷ ứng dụng tải về , nhưng không ai xem xét những gì được bỏ vào Google Play, bất kì ai có một tài khoản 25$ đều có thể tải lên bất cứ thứ gì mà họ muốn. “Rất ít thông tin được biết về những gì đang có ở một mức độ tổng hợp” Nieh cho biết, một thành viên của Trung tâm an ninh mang của Viện Khoa học dữ liệu và Kỹ thuật của trường Đại học. “Được cho là vấn đề phổ biến lớn của Google Play và rủi ro tiềm ẩn đến hàng triệu người dùng, chúng tôi nghĩ nó quan trọng để có một cái nhìn cận cảnh nội dung của Google Play “.

Báo cáo của Nieh và Viennot là báo cáo đầu tiên tạo ra một kích thước quy mô rộng lớn về thị trường khổng lồ của Google Play. Để thực hiện điều này, họ đã phát triển PlayDrone, một công cụ dùng những công nghệ tấn công đa dạng để phá vỡ bảo mật trên Google để tải về thành công những ứng dụng của Google Play và khôi phục lại nguồn của họ. Quy mô PlayDrone đơn giản bằng cách thêm vào nhiều máy chủ hơn và nhanh đủ để thu thập thông tin Google Play trên cơ sở hàng ngày, việc tải về nhiều hơn 1,1 triệu ứng dụng Android và dịch ngược trên 880.000 ứng dụng miễn phí.

Nieh và Viennot khám phá tất cả  các loại thông tin mới về nội dung của Google Play, bao gồm một vấn đề bảo mật nghiêm trọng; những nhà phát triển thường lưu lại khóa bí mật trong phần mềm ứng dụng, tương tự thông tin về tên người dùng/mật khẩu, và có thể được dùng bởi bất kì ai để cố ăn cắp dữ liệu người dùng hay các nguồn lực từ những người cung cấp dịch vụ chẳng hạn như Amazon và Facebook. Những lỗ hổng này có thể ảnh hưởng đến người dùng thậm chí nếu họ không tích cực chạy các ứng dụng Android. Nieh lưu ý rằng thậm chí “Những người phát triển hàng đầu” được chỉ rõ bởi nhóm Google Play như những nhà phát triển tốt nhất trên Google Play, bao gồm những lỗ hỗng này trong những ứng dụng của họ.

“Chúng tôi làm việc thân mật với Google, Amazon, Facebook, và những nhà cung cấp dịch vụ khác để xác định và thông báo cho khách hàng gặp rủi ro, và làm cho cửa hàng Google Play một nơi an toàn. ” Viennot cho hay. ” Google bây giờ đang sử dụng công nghệ của chúng ta để chủ động quét những ứng dụng cho những vấn đề này để ngăn chặn điều này xảy ra lại trong tương lai”.

Sự thật là , Nieh nó thêm, những nhà phát triển đang nhận thông báo từ Google để chỉnh sửa những ứng dụng của họ và xóa bỏ những khóa bí mật.

Nieh và Viennot mong đợi PlayDrone đặt một nền móng cho những loại phân tích mới của ứng dụng Android. “Dữ liệu lớn ngày càng quan trọng và những ứng dụng Android  chỉ là một dạng của dữ liệu thú vị”, theo quan sát của Nieh. “Công việc của chúng tôi làm cho nó có thể phân tích những ứng dụng của Android trong phạm vi rộng lớn bằng nhiều cách mới, và chúng tôi mong đợi PlayDrone sẽ là một công cụ hữu ích để hiểu hơn những ứng dụng Android và cải thiện chất lượng của nội dung ứng dụng trên Google Play. “

Các phát hiện khác của nghiên cứu bao gồm:

  • Hiển thị một phần tư tất cả những ứng dụng miễn phí Google Play được nhân đôi: những ứng dụng này trùng lặp với những ứng dụng khác trong Google Play.
  • Xác định một kết quả hiệu suất của vấn đề trong ứng dụng thấp mua trong Google Play: những điều này đã được chỉnh sửa từ đó.
  • Một danh sách của 10 ứng dụng hàng đầu được đánh giá cao và 10 ứng dụng được đánh giá tệ nhất trong Google Play bao gồm cả một ứng dụng bất ngờ, trong khi được đánh giá tệ nhất, vẫn có hơn 1 triệu lựơt tải về: có ngụ ý như là một quy mô để đo lường trọng lượng một đối tượng được đặt trên màn hình cảm ứng của một thiết bị Android, nhưng thay vì hiển thị một con số ngẫu nhiên về trọng lượng.

 

Tin tức hay về hàng trăm nghìn những nhà phát triển những người mà tải nội dung lên Google Play và thậm chí nhiều hơn hàng triệu người dùng như vậy tải nội dung về!

 

Chia sẻ bài viết ngay

Nguồn bài viết : phys.org