Ungefähr 10% aller Android-Apps haben Backdoors, knapp 4% Zensurlisten, das berichtet diese Studie hier
(Sicherungskopie)Mobile applications (apps) have exploded in popularity, with billions of smartphone users using millions of apps available through markets such as the Google Play Store or the Apple App Store. While these apps have rich and useful function- ality that is publicly exposed to end users, they also contain hidden behaviors that are not disclosed, such as backdoors and blacklists designed to block unwanted content. In this paper, we show that the input validation behavior—the way the mobile apps process and respond to data entered by users—can serve as a powerful tool for uncovering such hidden functionality. We therefore have developed a tool, INPUTSCOPE, that automatically detects both the execution context of user input validation and also the content involved in the validation, to automatically expose the secrets of interest. We have tested INPUTSCOPE with over 150,000 mobile apps, including popular apps from major app stores and pre- installed apps shipped with the phone, and found 12,706 mobile apps with backdoor secrets and 4,028 mobile apps containing blacklist secrets.
Mobile Anwendungen (Apps) sind in ihrer Popularität geradezu explodiert: Milliarden von Smartphone-Nutzern nutzen Millionen von Apps, die über Märkte wie den Google Play Store oder den Apple App Store erhältlich sind. Diese Apps verfügen zwar über reichhaltige und nützliche Funktionen, die den Endnutzern öffentlich zugänglich gemacht werden, aber sie enthalten auch versteckte Verhaltensweisen, die nicht offengelegt werden, wie z. B. Backdoors und Zensurlisten, die dazu dienen, unerwünschte Inhalte zu blockieren. In diesem Papier zeigen wir, dass das Verhalten der Eingabevalidierung – also die Art und Weise, wie die mobilen Anwendungen die von den Benutzern eingegebenen Daten verarbeiten und darauf reagieren – ein leistungsstarkes Werkzeug zur Aufdeckung solcher verborgenen Funktionen sein kann. Wir haben daher ein Werkzeug, INPUTSCOPE, entwickelt, das automatisch sowohl den Ausführungskontext der Benutzereingabevalidierung als auch den an der Validierung beteiligten Inhalt erkennt, um die Geheimnisse von Interesse automatisch aufzudecken. Wir haben INPUTSCOPE mit mehr als 150.000 mobilen Anwendungen getestet, darunter beliebte Anwendungen von großen App-Stores und vorinstallierte Anwendungen, die mit dem Telefon ausgeliefert wurden, und 12.706 mobile Anwendungen mit verdeckten Hintertüren sowie 4.028 mobile Anwendungen mit verdeckten Zensurlisten gefunden.