一些手机应用程序可能包含用户从未见过的隐藏行为

一组网络安全研究人员发现，大量的手机应用程序包含硬编码的秘密，允许其他人访问用户提供的私有数据或阻塞内容。

俄亥俄州立大学计算机科学与工程系副教授、该研究的高级作者林志强说，研究发现：手机上的应用程序可能有隐藏或有害的行为，最终用户对此知之甚少。

这项研究已被接受出版2020年IEEE安全和隐私研讨会在5月。 由于全球(COVID-19)的爆发，会议已经上线。

林说，通常，移动应用程序通过处理和响应用户输入来与用户接触。 例如，用户通常需要键入某些单词或句子，或者单击按钮和幻灯片屏幕。 这些输入提示应用程序执行不同的操作。

对于这项研究，研究小组评估了15万个应用程序。 根据GooglePlay商店的下载量，他们选出了前10万名，前2万名来自替代市场，3万名来自Android智能手机上预装的应用程序。

他们发现，在这些应用程序中，有12706个，约占8.5%，包含了一些被研究小组称为“后门秘密”的东西-在应用程序中隐藏的行为，这些行为接受某些类型的内容来触发普通用户未知的行为。 他们还发现，一些应用程序内置了“主密码”，允许任何拥有该密码的人访问该应用程序和其中包含的任何私有数据。 他们发现，一些应用程序有秘密访问密钥，可以触发隐藏选项，包括绕过支付。

林说：“如果一个坏人获得了这些“后门秘密”，用户和开发人员都会面临风险。 事实上，他说，有动机的攻击者可以反向设计移动应用程序来发现它们。

俄亥俄州立大学研究生研究助理、本研究的主要作者赵庆川说，开发人员经常错误地认为他们的应用程序的逆向工程不是一个合法的威胁。

赵说：“手机应用包含这些“后门秘密”的一个关键原因是开发人员把信任放错地方了。” 为了真正保护他们的应用程序，开发人员需要执行与安全相关的用户输入验证，并将他们的秘密推送到后端服务器上。

该小组还发现，另有4,028个应用程序-约2.7%-封锁了包含受审查、网络欺凌或歧视的特定关键字的内容。 林说，这些应用程序可能会限制某些类型的内容并不令人惊讶，但它们这样做的方式是：本地验证而不是远程验证。

他说：“在许多平台上，用户生成的内容在发布之前可能会被调整或过滤，”他指出，包括Face book、Instagram和Tumblr在内的几个社交媒体网站已经限制了允许用户在这些平台上发布的内容。

他说：“不幸的是，可能存在一些问题，例如，用户知道某些词是平台政策所禁止的，但他们不知道一些词的例子被认为是被禁止的词，可能导致内容在用户不知情的情况下被阻止。” “因此，最终用户不妨通过看到禁言的例子来澄清模糊的平台内容政策。

此外，他说，研究审查制度的研究人员可能希望了解哪些术语被认为是敏感的。 该团队开发了一个开源工具，名为“输入范围”，以帮助开发人员理解应用程序中的弱点，并演示反向工程过程可以完全自动化。

进一步探讨