חוקרים חושפים פגם אבטחה נרחב ביישומי Google Play

Anonim

חוקרים חושפים פגם אבטחה נרחב ביישומי Google Play

מחשבים

קולין ג'פרי

20 ביוני, 2014

החוקרים השתמשו ב- "Playdrone " כדי לחשוף פגמים משמעותיים באפליקציות של Google Play, כולל מפתחות סודיים (תמונה: אוניברסיטת קולומביה)

חוקרים מבית הספר להנדסה באוניברסיטת קולומביה, שערכו מחקר מדידה בקנה מידה גדול בשוק של Google Play, גילו בעיות אבטחה חשובות, כולל נתוני מפתח סודיים המאוחסנים על ידי מפתחים באפליקציות שלהם, שאם נגנבו, ניתן לנצל אותם כדי לגנוב נתוני משתמשים מהאהובים של אמזון ופייסבוק.

באמצעות הסורק של ההמצאה שלהם בשם "PlayDrone " לאינדקס ולנתח יישומים, צוות של פרופסור ג'ייסון ניה ומועמד לתואר שלישי ניקולה Viennot השתמשו בטכניקות רבות כדי לעקוף את האבטחה של Google כדי להוריד יישומי Google Play ולשחזר את המקורות הקשורים אליהם .

כתוצאה מכך, הקבוצה גילתה פגמים ופגיעויות אבטחה שפשוט נעלמו מעיניהם, משום שלדברי החוקרים - מעט מאוד ידוע על מה שהועלה ל- Google Play על ידי מפתחים, ורוב מה שמאוחסן יחד עם היישומים אינו מוכר במידה רבה תנאי תוכן. מה שנקרא "המפתחות הסודיים " שנמצאו בדרך זו היו מאוחסנים במקור על ידי מפתחים כחלק מהמידע של האפליקציות שלהם, ואם נגנבו, יאפשרו לאנשים לקבל גישה לפרטי משתמשים מספקי שירות כגון אמזון ופייסבוק.

ל- Google Play יש יותר ממיליון אפליקציות ויותר מ -50 מיליארד הורדות של אפליקציות, אך אף אחד לא בודק מה נכנס ל- Google Play - כל אחד יכול לקבל חשבון בסך $ 25 ולהעלות את מה שהוא רוצה.מעט מאוד ידוע על מה, אמר ג'סון ניה, "בהתחשב בפופולריות העצומה של Google Play ובסיכונים הפוטנציאליים למיליוני משתמשים, חשבנו שחשוב להעיף מבט מקרוב על תוכן Google Play."

כדי לסרוק את Google Play על בסיס יומי, PlayDrone נעשה מדרגי - באופן אוטומטי הוספת שרתים נוספים לטפל בעומס כנדרש. באמצעות טכניקה זו, הצוות היה מסוגל להוריד יותר ממיליון יישומי אנדרואיד ו decompile מעל 880, 000 של היישומים החינמיים הזמינים.

לאחר עיבוד נתונים אלה וניתוח הממצאים שלהם, הצוות היה מאז אינטגרלי לסייע לסייע לחבר את חורי האבטחה ולהסיר את הפגיעויות, על ידי שמירה על קשר מתמיד עם Google ומאפשר את השימוש בטכנולוגיה שלהם. כתוצאה מכך, Google כבר החלה לשפר את השיטות והפרוטוקולים המועסקים ב- Google Play.

"אנו פועלים בשיתוף פעולה הדוק עם Google, אמזון, Facebook וספקי שירות אחרים כדי לזהות ולדווח ללקוחות בסיכון ולהפוך את חנות Google Play למקום בטוח יותר", אומר וינות. "Google משתמשת בטכניקות שלנו כדי לסרוק באופן אקטיבי את האפליקציות עבור בעיות אלו כדי למנוע זאת שוב בעתיד. "

כצידה כדי להסתכל על כל הנתונים האלה, טענת צוות PlayDrone גילתה גם דברים מעניינים אחרים על היישומים ב- Google Play שלא היו קשורים לאבטחה, אלא סיפרו על מצב המערכת. הדבר כולל את הטענה שכרבע מכל האפליקציות החינמיות של Google Play הן פשוט כפילויות - או שיבוטים - של אפליקציות אחרות שכבר זמינות.

נוסף על כך, אפליקציה אחת מסוימת שטענה על שקילה של חפצים שהונחו על מסך של התקן המכיל אותה היתה פשוט לא נכונה (היא רק הציגה מספר אקראי), עדיין היו לה יותר ממיליון הורדות. זה היה למרות העובדה שהוא היה מדורג App הגרוע ביותר ב- Google Play.

הפרטים של המחקר של הצוות הוצגו במאמר בעיתון ACM SIGMETRICS ב -18 ביוני.

מקור: אוניברסיטת קולומביה

החוקרים השתמשו ב- "Playdrone " כדי לחשוף פגמים משמעותיים באפליקציות של Google Play, כולל מפתחות סודיים (תמונה: אוניברסיטת קולומביה)