Thousands of Android Apps Come With Hidden Backdoors, Study Claims

एक नए अध्ययन में दावा किया गया है कि हजारों एंड्रॉइड ऐप इनपुट-ट्रिगर रहस्य जैसे बैकडोर और अवांछित वस्तुओं के ब्लैकलिस्ट के साथ आ सकते हैं। एक नए विकसित टूल का उपयोग करके कुल 150,000 ऐप्स का विश्लेषण किया गया है, जिन्हें InputScope कहा जाता है। इनमें से 12,706 ऐप में बैकसाइड की मौजूदगी पाई गई और 4,028 से अधिक ऐप ब्लैक लिस्टेड शब्दों की जाँच करते दिख रहे हैं। 150,000 ऐप्स में से, 100,000 ऐप्स Google Play Store से थे और 30,000 ऐप्स सैमसंग फोन पर पहले से इंस्टॉल थे।

नया अध्ययन ओहियो स्टेट यूनिवर्सिटी, न्यूयॉर्क विश्वविद्यालय और हेल्महोल्त्ज़ सेंटर फॉर इंफ़ॉर्मेशन सिक्योरिटी (CISPA) के शोधकर्ताओं से आता है। इन शोधकर्ताओं ने इन 150,000 ऐप्स का विश्लेषण टूलस्कॉप नामक एक विश्लेषण उपकरण का उपयोग करके किया। इस उपकरण ने उपयोगकर्ता इनपुट सत्यापन के निष्पादन संदर्भ और सत्यापन में शामिल सामग्री दोनों को स्वचालित रूप से छिपी कार्यक्षमता को उजागर करने में मदद की। जैसा कि उल्लेख किया गया है, ऐप के पूल में Google Play Store से एंड्रॉइड ऐप, सैमसंग फोन से पहले से इंस्टॉल किए गए ऐप और चीनी बाज़ार Baidu से 20,000 ऐप भी थे।

परीक्षण में 12,706 मोबाइल ऐप शामिल किए गए जिनमें बैकडोर रहस्य और 4,028 मोबाइल ऐप हैं जिनमें ब्लैकलिस्ट रहस्य शामिल हैं। अनजाने बैकडोर में गुप्त एक्सेस कुंजी, मास्टर पासवर्ड और गुप्त विशेषाधिकार प्राप्त कमांड शामिल हैं, और अवांछित वस्तुओं के ब्लैकलिस्ट में सेंसरशिप कीवर्ड, साइबर-बुलिंग अभिव्यक्ति और कमजोर पासवर्ड शामिल हैं।

अध्ययन से यह भी पता चला है कि पहले से इंस्टॉल किए गए ऐप में अन्य ऐप की तुलना में अनैतिक बैकडोर व्यवहार दिखाया गया था। पहले से इंस्टॉल किए गए ऐप पर अनडूम्ड बैकडोर इंस्टेंसेस का प्रतिशत लगभग 16 प्रतिशत था, जबकि Google Play Store ऐप 6.8 प्रतिशत पर थे। Baidu ऐप्स 5.3 प्रतिशत पर थे – बहुत कम से कम। ब्लैकलिस्ट करने के लिए 4.5 प्रतिशत ऐप्स Baidu से थे, 3.9 प्रतिशत ऐप प्री-इंस्टॉल ऐप से थे, और 2 प्रतिशत ऐप Google से थे।

ऐप्स पर ये सीक्रेट बैकडोर और ब्लैकलिस्ट रिमोट लॉगिन के लिए अनुमति दे सकते हैं, उपयोगकर्ता पासवर्ड रीसेट कर सकते हैं, उपयोगकर्ताओं को सामग्री तक पहुंचने से रोक सकते हैं, और हैकर्स को भुगतान इंटरफेस को बायपास कर सकते हैं। ये सभी किसी भी उपयोगकर्ता के ज्ञान के बिना मौजूद हैं, और यह अराजक एंड्रॉइड पारिस्थितिकी तंत्र में एक और महान खतरे के रूप में है।