Bu hafta yayınlanan kapsamlı bir akademik araştırmaya gore 12.706 Android uygulamasında gizli erişim anahtarı, ana parola ve gizli komut gibi gizli arka kapı erişimlerine benzeyen davranışlar saptandı. ABD ve Avrupa'dan akademisyenler, araştırmalarında bu arka kapı erişimlerini saptayabilmek icin InputScope adında bir arac geliştirdiler. Bu arac 150.000'den fazla Android uygulamasının icinde bulunan giriş formu alanlarını analiz etmede kullanıldı.
Daha yakından bakılacak olursa, bilim insanları Play Store'dan (indirilme sayılarına dayanarak) 100.000 uygulamayı, ucuncu parti mağazalardan en populer 20.000 uygulamayı ve Samsung cihazlarda yuklu olarak gelen 30.000'in uzerinde uygulamayı incelediler. Araştırma ekibi, bulgularının endişe verici olduğunu acıkladı. Toplam 12.706 uygulamanın ceşitli turden arka kapı erişim imkÂnını sağladığı belirtiliyor.
[h=2]Saldırganlara acık kapı[/h]
Araştırmacılar bu gizli acık kapı mekanizmalarının, saldırganlara telefon kullanıcılarının hesaplarına yetkisiz giriş elde etme imkÂnı tanıyabileceğine vurgu yapıyorlar. Dahası, eğer saldırganın bir cihaza fiziksel erişimi varsa ve bu uygulamalardan biri cihaza yukluyse, bu durumda saldırgan taraf bir telefona erişebilir ya da ayrıcalıklı bir şekilde, uygulamanın veri giriş alanında gizlenmiş bir komut aracılığıyla o cihazda kod calıştırabilir.
Araştırmacılar, 10 milyondan fazla indirilen populer bir uzaktan erişim uygulamasını ornek gosteriyorlar. Bu uygulamada bulunan ana parola aracılığıyla, kullanıcı telefonunu kaybettiğinde erişimi kısıtlasa bile erişimin kilidi kırılabiliyor. Bunun yanı sıra, yine populer bir ekran kilitleme uygulaması, rastgele kullanıcıların parolalarını resetleyerek ekran kilidini acacak ve sisteme giriş yapmasını sağlayacak bir erişim anahtarına sahip.

Bir başka ornekte, yine populer bir yayın uygulamasının yonetici arayuzune erişilmesini sağlayan bir erişim anahtarı bulunuyor. Bu yoldan bir saldırgan uygulamayı yeniden duzenleyebilir ve ilave işlevlerin kilidini acabilir. Son olarak, populer bir ceviri uygulamasında, ucretli uyeliği ortadan kaldıracak gizli bir anahtar keşfedildi.
Araştırmacılar, Play Store'da yer alan 6.800 uygulamada bu tip arka kapı erişimleri tespit ettiklerini belirtiyorlar. Samsun cihazlarda yuklu gelen uygulamalardaki sayıysa 4.800. Araştırmacılar, bu sorunun bulunduğu uygulamaların sahibi tum geliştiricilere haber verdiklerini ancak bunların bazılarından geri donuş alamadıklarını soylediler.

Butun bunların yanında, 4.028 Android uygulamasında kotu soz filtresi ya da siyasi gerekcelerle oluşturulmuş kara listeler olduğu tespit edildi.