【不死密碼】Konami code暗開Android直播app後門
有研究員開發咗一隻叫 InputScope 嘅工具,結果喺測試嘅 15 萬隻熱門 Android 應用軟件中,搵到 12,706 隻存有「後門」!只要黑客接觸到中招手機,就可憑密碼或指令解鎖,提升使用權限或開啟其他特別功能,密碼仲包括大家好熟悉嘅添!
主持今次大型研究嘅係美國及歐洲組成嘅學者團,研究嘅目的係想試吓熱門 Android app 內到底有無存在一啲擬似後門嘅行為,例如有無秘密密碼、指令,可以啟用隱藏功能,甚至提升 app 嘅存取權限,可以繞過 Android 登入防護,解鎖手機。於是佢哋就揀選咗頭 10 萬隻喺 Google Play Store、頭兩萬隻喺第三方 app 商店最多下載量嘅軟件,以及三萬隻預載喺 Samsung 手機嘅軟件,用自家開發嘅 InputScope 工具測試,睇下喺 app 內嘅輸入欄位有無古怪。
結果發現,總共有 12,706 隻軟件有古怪,當中比較嚴重嘅問題係如果黑客物理上攞到部機過手,就可以通過有問題嘅軟件解鎖手機,以及遙距執行程式碼。研究團隊仲舉咗幾個例子出嚟,例如一隻下載量達 1000 萬嘅遙控軟件,只要輸入萬能密碼,就算部機已被機主遙距鎖死,一樣解得開入到系統。另一隻下載量達 500 萬嘅直播 app,只要連續點選 13 次版本號碼,就會彈出隱藏輸入框,跟住再輸入 Konami code(),就可以進行隱藏設定畫面開啟額外功能。雖然研究員話部分擬似後門行為其實只屬於開發人員專登加入嘅「Easter Eggs」,又或者係推出前除錯除漏咗,但的確有部分軟件嘅後門可以盜取到手機內資料。研究員已聯絡咗有問題 app 嘅開發公司,不過就唔係全部都有回覆。
相關文章:【咪亂裝】Android肺app會鎖機!