Android a certainement pris de la chaleur pour les logiciels malveillants liés bits dans le passé. Maintenant, une étude récente par des informaticiens à North Carolina State University révèle que plus de la moitié des 100.000 applications de l'Android Market de Google Lecture comprennent les bibliothèques ad soi-disant, qui sont essentiellement distribués par Google ou par des tiers développeurs de récupérer les annonces de les serveurs et les lancer sur votre téléphone. Parmi ceux-ci, 297 ont été classés comme «agressif», comme ils sont autorisés à exécuter du code à partir d'un serveur distant. En outre, le Dr. Jiang avec son escouade de chercheurs ont constaté que plus de 48 000 des applications mises à l'épreuve pourrait suivre la localisation par GPS, tandis que d'autres informations accessibles peuvent aller de journaux d'appels, les numéros de contact, à la liste des applications sur votre appareil. On ne sait pas si cela s'applique aussi aux ardoises Android, bien que cette étude particulière menée combinés seulement inclus.
Des chercheurs de North Carolina State University ont constaté que, y compris les annonces dans les applications mobiles (apps) pose la vie privée et les risques de sécurité. Dans une étude récente de 100.000 applications dans le marché de Google Lecture officielle, les chercheurs ont remarqué que plus de la moitié contenaient des bibliothèques ad soi-disant. Et 297 de ces applications inclus les bibliothèques ad agressifs qui ont été activés pour télécharger et exécuter du code à partir de serveurs distants - ce qui soulève la vie privée importante et les problèmes de sécurité.
"Exécution de code téléchargé de l'Internet est problématique parce que le code pourrait être n'importe quoi», explique le Dr Jiang Xuxian, professeur adjoint d'informatique à NC State et co-auteur d'un document décrivant les travaux. "Par exemple, il pourrait lancer une attaque de" root exploit "de prendre le contrôle de votre téléphone - comme l'a démontré dans un morceau récemment découvert des logiciels malveillants Android appelé RootSmart."
Dans Google Play (anciennement connu sous le nom Android Market) et d'autres marchés, de nombreux développeurs offrent des applications gratuites. Pour générer des revenus, ces développeurs d'applications incorporer "les bibliothèques ad in-app", qui sont fournis par Google, Apple ou d'autres tierces parties. Ces bibliothèques ad récupérer annonces sur des serveurs distants et exécuter les annonces sur le smartphone d'un utilisateur périodiquement. Chaque fois qu'une annonce s'exécute, le développeur d'application reçoit un paiement.
Cela pose des problèmes potentiels parce que les bibliothèques ad recevoir les mêmes autorisations que l'utilisateur accordés à l'application elle-même quand il a été installé - indépendamment du fait que l'utilisateur est conscient qu'il ou elle a été l'octroi d'autorisations à la bibliothèque annonce.
L'équipe de Jiang a examiné un échantillon de 100.000 applications disponibles sur Play Google entre Mars et Mai 2011 et a examiné les 100 bibliothèques ad représentatifs utilisés par ces applications. Une importante découverte a été que 297 de ces applications (1 sur chaque 337 applications) utilisé bibliothèques ad "qui a fait usage d'un mécanisme dangereux de chercher et exécuter du code à partir d'Internet - un comportement qui n'est pas nécessaire pour leur mission, n'a pas encore inquiétante vie privée et les implications de sécurité, "Jiang dit. Mais ce n'est que l'exemple le plus extrême.
Équipe de Jiang a révélé que 48 139 des applications (1 à 2,1) avaient des bibliothèques ad qui suivent l'emplacement d'un utilisateur via le GPS, sans doute pour permettre une bibliothèque annonce à mieux cibler les annonces à l'utilisateur. Toutefois, 4,190 applications (1 à 23,4) utilisé bibliothèques que les annonceurs publicitaires ont également permis eux-mêmes à accéder à l'emplacement d'un utilisateur via GPS. Autres informations accessibles par certaines bibliothèques ad inclus les journaux d'appels, les numéros de téléphone des utilisateurs et des listes de toutes les applications qu'un utilisateur a stockées sur son téléphone.
Ces bibliothèques ad présentent des risques de sécurité, car ils offrent un moyen pour compte de tiers - y compris les pirates - de contourner les efforts existants de sécurité Android. Plus précisément, l'application elle-même peut être inoffensif, il ne déclenchera pas les problèmes de sécurité. Mais la bibliothèque ad l'application peut télécharger le code nuisible ou envahissante après l'installation.
"Afin de limiter l'exposition à ces risques, nous devons isoler les bibliothèques à partir d'applications ad et assurez-vous qu'ils n'ont pas les mêmes autorisations," Jiang dit. "Le modèle actuel de l'incorporation directe dans les bibliothèques ad applications mobiles ne rendre commode pour les développeurs d'applications, mais aussi introduit fondamentalement la vie privée et les risques de sécurité. La meilleure solution serait pour Google, Apple et autres fournisseurs de plates-formes mobiles de prendre les devants en fournissant efficace ad-isolement des mécanismes. "
Le papier, "Analyse de l'exposition dangereuse des mobiles In-App Annonces," a été co-écrit par Jiang; NC State Ph.D. étudiants Michael Grace et Wu Zhou, et le Dr Ahmad-Reza Sadeghi de l'Université Technique de Darmstadt. Le document sera présenté Avril 17 à la 5e Conférence sur la sécurité et ACM Vie privée dans les réseaux sans fil et mobile à Tucson. La recherche a été financée par la National Science Foundation.
Source: NCSU News
Des chercheurs de North Carolina State University ont constaté que, y compris les annonces dans les applications mobiles (apps) pose la vie privée et les risques de sécurité. Dans une étude récente de 100.000 applications dans le marché de Google Lecture officielle, les chercheurs ont remarqué que plus de la moitié contenaient des bibliothèques ad soi-disant. Et 297 de ces applications inclus les bibliothèques ad agressifs qui ont été activés pour télécharger et exécuter du code à partir de serveurs distants - ce qui soulève la vie privée importante et les problèmes de sécurité.
"Exécution de code téléchargé de l'Internet est problématique parce que le code pourrait être n'importe quoi», explique le Dr Jiang Xuxian, professeur adjoint d'informatique à NC State et co-auteur d'un document décrivant les travaux. "Par exemple, il pourrait lancer une attaque de" root exploit "de prendre le contrôle de votre téléphone - comme l'a démontré dans un morceau récemment découvert des logiciels malveillants Android appelé RootSmart."
Dans Google Play (anciennement connu sous le nom Android Market) et d'autres marchés, de nombreux développeurs offrent des applications gratuites. Pour générer des revenus, ces développeurs d'applications incorporer "les bibliothèques ad in-app", qui sont fournis par Google, Apple ou d'autres tierces parties. Ces bibliothèques ad récupérer annonces sur des serveurs distants et exécuter les annonces sur le smartphone d'un utilisateur périodiquement. Chaque fois qu'une annonce s'exécute, le développeur d'application reçoit un paiement.
Cela pose des problèmes potentiels parce que les bibliothèques ad recevoir les mêmes autorisations que l'utilisateur accordés à l'application elle-même quand il a été installé - indépendamment du fait que l'utilisateur est conscient qu'il ou elle a été l'octroi d'autorisations à la bibliothèque annonce.
L'équipe de Jiang a examiné un échantillon de 100.000 applications disponibles sur Play Google entre Mars et Mai 2011 et a examiné les 100 bibliothèques ad représentatifs utilisés par ces applications. Une importante découverte a été que 297 de ces applications (1 sur chaque 337 applications) utilisé bibliothèques ad "qui a fait usage d'un mécanisme dangereux de chercher et exécuter du code à partir d'Internet - un comportement qui n'est pas nécessaire pour leur mission, n'a pas encore inquiétante vie privée et les implications de sécurité, "Jiang dit. Mais ce n'est que l'exemple le plus extrême.
Équipe de Jiang a révélé que 48 139 des applications (1 à 2,1) avaient des bibliothèques ad qui suivent l'emplacement d'un utilisateur via le GPS, sans doute pour permettre une bibliothèque annonce à mieux cibler les annonces à l'utilisateur. Toutefois, 4,190 applications (1 à 23,4) utilisé bibliothèques que les annonceurs publicitaires ont également permis eux-mêmes à accéder à l'emplacement d'un utilisateur via GPS. Autres informations accessibles par certaines bibliothèques ad inclus les journaux d'appels, les numéros de téléphone des utilisateurs et des listes de toutes les applications qu'un utilisateur a stockées sur son téléphone.
Ces bibliothèques ad présentent des risques de sécurité, car ils offrent un moyen pour compte de tiers - y compris les pirates - de contourner les efforts existants de sécurité Android. Plus précisément, l'application elle-même peut être inoffensif, il ne déclenchera pas les problèmes de sécurité. Mais la bibliothèque ad l'application peut télécharger le code nuisible ou envahissante après l'installation.
"Afin de limiter l'exposition à ces risques, nous devons isoler les bibliothèques à partir d'applications ad et assurez-vous qu'ils n'ont pas les mêmes autorisations," Jiang dit. "Le modèle actuel de l'incorporation directe dans les bibliothèques ad applications mobiles ne rendre commode pour les développeurs d'applications, mais aussi introduit fondamentalement la vie privée et les risques de sécurité. La meilleure solution serait pour Google, Apple et autres fournisseurs de plates-formes mobiles de prendre les devants en fournissant efficace ad-isolement des mécanismes. "
Le papier, "Analyse de l'exposition dangereuse des mobiles In-App Annonces," a été co-écrit par Jiang; NC State Ph.D. étudiants Michael Grace et Wu Zhou, et le Dr Ahmad-Reza Sadeghi de l'Université Technique de Darmstadt. Le document sera présenté Avril 17 à la 5e Conférence sur la sécurité et ACM Vie privée dans les réseaux sans fil et mobile à Tucson. La recherche a été financée par la National Science Foundation.
Source: NCSU News
Tags:
Android
Android Market
annonces
app
google jeu
Internet
l'application
l'étude
la recherche
les applications
MobileAds
Sécurité
Tech