Cảnh báo bảo mật trên những phần mềm được cài đặt sẵn của Android.

0
949

Giới Thiệu Tổng Quan Về Nghiên Cứu:

Một nghiên cứu độc lập quy mô lớn về Android được cài đặt sẵn các ứng dụng đã đưa ra một điểm nhấn quan trọng về các rủi ro bảo mật và quyền riêng tư

mà phần mềm được tải sẵn đặt ra cho người dùng của nền tảng di động do Google phát triển.

Cảnh báo bảo mật trên Phần mềm được cài đặt sẵn của Android

Cảnh báo bảo mật trên Phần mềm được cài đặt sẵn của Android

Các nhà nghiên cứu đằng sau bài báo, đã được xuất bản ở dạng sơ bộ trước khi trình bày trong tương lai tại Hội nghị chuyên đề về bảo mật và quyền riêng tư của IEEE,

đã khai quật một hệ sinh thái phức tạp của người chơi với trọng tâm chính là quảng cáo và dịch vụ điều khiển dữ liệu người dùng

Android trung bình dường như không thể biết được (trong khi cũng có khả năng thiếu khả năng gỡ cài đặt / trốn tránh quyền truy cập đặc quyền của phần mềm vào dữ liệu và tài nguyên).

Nghiên cứu được thực hiện bởi các nhà nghiên cứu tại Đại học Carlos III de Madrid (UC3M) và Viện IMDEA Networks, phối hợp với Viện Khoa học Máy tính Quốc tế (ICSI) tại Berkeley (Hoa Kỳ) và

Đại học Stony Brook của New York (Hoa Kỳ ), bao gồm hơn 82.000 ứng dụng Android được cài đặt sẵn trên hơn 1.700 thiết bị được sản xuất bởi 214 thương hiệu, theo viện IMDEA.

Các Mặt Nghiên Cứu Về Bảo Mật:

Một mặt nghiên cứu cho thấy, một mặt, mô hình cấp phép trên hệ điều hành Android và các ứng dụng của nó cho phép một số lượng lớn diễn viên theo dõi và lấy thông tin người dùng cá nhân nó viết.

Đồng thời, nó tiết lộ rằng người dùng cuối không biết về các tác nhân này trong các thiết bị đầu cuối Android hoặc về những hàm ý mà thực tiễn này có thể có đối với quyền riêng tư của họ.

Hơn nữa sự hiện diện của phần mềm đặc quyền này trong hệ thống khiến cho việc loại bỏ nó trở nên khó khăn nếu một người không phải là người dùng chuyên gia.

Một Vài Ví Dụ Của FaceBook:

Một ví dụ về một ứng dụng nổi tiếng có thể được cài đặt sẵn trên một số thiết bị Android là Facebook.

Đầu năm nay , gã khổng lồ mạng xã hội được tiết lộ đã ký một số thỏa thuận không xác định với các nhà sản xuất thiết bị để tải trước ứng dụng của mình.

Công Bố Của FaceBook:

Và mặc dù công ty đã tuyên bố những cài đặt trước này chỉ là giữ chỗ – trừ khi hoặc cho đến khi người dùng chọn tích cực tham gia và tải xuống ứng dụng

Facebook về cơ bản người dùng Android phải tin vào những tuyên bố đó mà không có khả năng xác minh khiếu nại của công ty

tìm một nhà nghiên cứu bảo mật thân thiện để tiến hành phân tích lưu lượng truy cập) cũng như không xóa ứng dụng khỏi thiết bị của họ.

Tải trước Facebook chỉ có thể bị vô hiệu hóa không bị xóa hoàn toàn.

Tải trước của công ty đôi khi cũng bao gồm một số ứng dụng hệ thống mang nhãn hiệu Facebook khác thậm chí ít nhìn thấy hơn trên thiết bị và chức năng của chúng thậm chí còn mờ hơn.

Những Xác Thực Của FaceBook:

Facebook trước đây đã xác nhận không có khả năng cho người dùng Android xóa bất kỳ ứng dụng hệ thống Facebook nào được tải sẵn của họ.

Facebook sử dụng các ứng dụng hệ điều hành Android để đảm bảo người dân có kinh nghiệm người dùng tốt nhất có thể trong đó có đáng tin cậy nhận được thông báo và có phiên bản mới nhất của ứng dụng của chúng tôi.

Ứng Dụng Hệ Thống:

Các ứng dụng hệ thống này chỉ hỗ trợ nhóm ứng dụng và sản phẩm của Facebook được thiết kế để tắt theo mặc định cho đến khi một người

bắt đầu sử dụng ứng dụng Facebook và luôn có thể bị vô hiệu hóa một phát ngôn viên của Facebook nói với chúng tôi vào đầu tháng này.

Nhưng mạng xã hội chỉ là một trong số các công ty tham gia vào một hệ sinh thái thu thập và giao dịch dữ liệu mờ đục,

mờ đục và dường như liên kết với nhau mà Android hỗ trợ và các nhà nghiên cứu đặt ra để chiếu sáng.

Trong tất cả 1.200 nhà phát triển đã được xác định đằng sau phần mềm được cài đặt sẵn mà họ tìm thấy trong tập dữ liệu họ đã kiểm tra cũng như hơn 11.000 thư viện của bên thứ ba (SDK).

Nhiều ứng dụng được tải sẵn đã được tìm thấy để hiển thị những gì các nhà nghiên cứu cho là hành vi nguy hiểm hoặc không mong muốn.

Tập dữ liệu làm cơ sở cho phân tích của họ được thu thập thông qua các phương pháp tìm nguồn cung ứng đám đông – sử dụng ứng dụng được

xây dựng có mục đích (được gọi là Máy quét phần sụn) và lấy dữ liệu từ ứng dụng Lumen Privacy Monitor.

Cái sau cung cấp cho các nhà nghiên cứu khả năng hiển thị về lưu lượng truy cập di động – thông qua siêu dữ liệu lưu lượng mạng ẩn danh thu được từ người dùng của nó.

Họ cũng đã thu thập thông tin trên Cửa hàng Google Play để so sánh kết quả của họ trên các ứng dụng được cài đặt sẵn với các ứng dụng có sẵn công khai

– và thấy rằng chỉ 9% tên gói trong bộ dữ liệu của họ được lập chỉ mục công khai trên Play.

Quyền Liên Quan:

Một tìm kiếm khác liên quan đến quyền.

Ngoài các quyền tiêu chuẩn được xác định trong Android (tức là có thể được kiểm soát bởi người dùng), các nhà nghiên cứu cho biết họ đã xác định được hơn 4.845 quyền sở hữu

hoặc các cá nhân hóa các quyền của các tác nhân khác nhau trong quá trình sản xuất và phân phối thiết bị.

Vì vậy điều đó có nghĩa là họ đã tìm thấy các giải pháp cho phép người dùng có hệ thống được kích hoạt

bởi điểm số của các giao dịch thương mại bị cắt trong hệ sinh thái phần mềm nền tảng điều khiển dữ liệu không minh bạch.

Loại quyền này cho phép các ứng dụng được quảng cáo trên Google Chơi để trốn tránh mô hình cấp phép của

Android để truy cập dữ liệu người dùng mà không cần sự đồng ý của họ khi cài đặt ứng dụng mới còn viết IMDEA.

Những Kết Luận:

Kết luận hàng đầu của nghiên cứu là chuỗi cung ứng xung quanh mô hình nguồn mở của Android được đặc trưng bởi sự thiếu minh bạch

điều này đã cho phép một hệ sinh thái phát triển không được kiểm soát và được thiết lập đầy rẫy những hành vi có hại

và thậm chí truy cập ngược dữ liệu nhạy cảm tất cả đều không có sự đồng ý hoặc nhận thức của người dùng Android.

Ở mặt trước các nhà nghiên cứu đã thực hiện một cuộc khảo sát quy mô nhỏ về các hình thức đồng ý của một số điện thoại Android để kiểm tra nhận thức của người dùng.

cụm từ ‘nếu nó miễn phí, bạn là sản phẩm’ là một quả anh đào quá trớn trên đỉnh một tảng băng trôi dữ liệu lớn nhưng hoàn toàn ngập nước.

(Không phải ít nhất vì điện thoại thông minh Android không có xu hướng hoàn toàn miễn phí.)

Đối Tác:

Các nhà hợp tác và các thỏa thuận tiềm năng

được thực hiện sau cánh cửa đóng kín giữa các bên liên quan

có thể đã biến dữ liệu người dùng thành hàng hóa trước khi người dùng mua thiết bị của họ hoặc quyết định cài đặt phần mềm của riêng họ các nhà nghiên cứu cảnh báo.

Thật không may do thiếu cơ quan trung ương hoặc hệ thống ủy thác để cho phép xác minh và phân bổ các chứng chỉ tự ký được sử dụng để ký các ứng dụng và do

không có bất kỳ cơ chế nào để xác định mục đích và tính hợp pháp của nhiều ứng dụng này và quyền tùy chỉnh rất khó để quy kết các hành vi ứng dụng không mong muốn

và có hại cho bên hoặc các bên chịu trách nhiệm.

Ý nghĩa tiêu cực:

Điều này có ý nghĩa tiêu cực rộng hơn đối với trách nhiệm và trách nhiệm trong toàn bộ hệ sinh thái này.

Các nhà nghiên cứu tiếp tục đưa ra một loạt các khuyến nghị nhằm giải quyết sự thiếu minh bạch và trách nhiệm trong hệ sinh thái Android

bao gồm đề xuất giới thiệu và sử dụng các chứng chỉ được ký bởi các cơ quan chứng nhận tin cậy toàn cầu hoặc kho lưu trữ minh bạch chứng chỉ dành riêng để cung cấp chi tiết

và phân bổ cho các chứng chỉ được sử dụng để ký các ứng dụng Android khác nhau bao gồm cả các ứng dụng được cài đặt sẵn ngay cả khi tự ký tên.

Các Thiết Bị:

Họ cũng đề xuất các thiết bị Android nên được yêu cầu ghi lại tất cả các ứng dụng được cài đặt sẵn cộng với mục đích của chúng và đặt

tên cho thực thể chịu trách nhiệm cho từng phần mềm – và làm như vậy theo cách mà người dùng có thể truy cập và hiểu được.

Người Dùng Android và những thông báo.

Người dùng của [Android] không được thông báo rõ ràng về phần mềm của bên thứ ba được cài đặt trên thiết bị của họ bao gồm

các dịch vụ theo dõi và quảng cáo của bên thứ ba được nhúng trong nhiều ứng dụng được cài đặt sẵn các loại dữ liệu họ thu thập từ họ các khả năng và số lượng quyền kiểm soát họ có trên thiết bị của mình và các mối quan hệ

đối tác cho phép chia sẻ thông tin và kiểm soát được cung cấp cho các công ty khác thông qua các quyền tùy chỉnh cửa hậu và kênh phụ.

Điều này đòi hỏi một hình thức chính sách bảo mật mới phù hợp với các ứng dụng được cài đặt sẵn được xác định và thi hành

để đảm bảo rằng thông tin cá nhân ít nhất được truyền đạt tới người dùng một cách rõ ràng và dễ tiếp

cận kèm theo các cơ chế cho phép người dùng đưa ra quyết định sáng suốt về cách thức hoặc để sử dụng các thiết bị như vậy mà không cần phải root thiết bị của họ họ tranh luận.

Để kết luận họ đã nghiên cứu chỉ đơn thuần là vạch ra bề mặt của một vấn đề lớn hơn nhiều nói rằng hy vọng của họ cho công việc là gây chú ý nhiều hơn đến hệ sinh thái phần mềm

Android được cài đặt sẵn và khuyến khích kiểm tra nghiêm trọng hơn về tác động của nó đối với quyền riêng tư của người dùng và an ninh.

Họ cũng viết rằng họ dự định sẽ tiếp tục cải thiện các công cụ được sử dụng để thu thập tập dữ liệu,

cũng như nói rằng kế hoạch của họ là để dần dần làm cho bộ dữ liệu có sẵn cho cộng đồng nghiên cứu và các nhà quản lý để khuyến khích người khác lặn trong.

Phát Ngôn Của GooGle:

Google đã trả lời bài báo bằng tuyên bố sau – được quy cho người phát ngôn:

Chúng tôi đánh giá cao công việc của các nhà nghiên cứu và đã liên hệ với họ về những lo ngại mà chúng tôi có về phương pháp của họ.

Điện Thoại Thông Minh

Điện thoại thông minh hiện đại bao gồm phần mềm hệ thống được thiết kế bởi nhà sản xuất của họ để đảm bảo thiết bị của họ chạy đúng và đáp ứng mong đợi của người dùng.
Phương pháp của các nhà nghiên cứu không thể phân biệt phần mềm hệ thống được cài đặt sẵn
chẳng hạn như trình quay số, cửa hàng ứng dụng và công cụ chẩn đoán, từ phần mềm độc hại đã truy cập thiết bị sau đó, gây khó khăn cho việc đưa ra kết luận rõ ràng.

Kết Luận:

Chúng tôi làm việc với các đối tác OEM của mình để giúp họ đảm bảo chất lượng và bảo mật của tất cả các ứng dụng mà họ quyết định cài đặt sẵn trên thiết bị
và cung cấp các công cụ và cơ sở hạ tầng cho các đối tác của chúng tôi để giúp họ quét phần mềm của họ để vi phạm các tiêu chuẩn của chúng tôi về quyền riêng tư và bảo mật .