Защо потребителите на Android трябва да се грижат за динамичното зареждане на кода

Когато хората използват приложения за Android, каквото и да се случва във фонов режим, обикновено не им минава през ума. За съжаление, опция за програмиране, наречена динамично зареждане на код, може да представлява риск за сигурността. Ето какво трябва да знаете за него.

Какво представлява зареждането на динамичен код?

При разработването на приложения целият изходен код, използван при изграждането на приложение, съставлява кодовата база. Динамичното зареждане на код позволява на приложението да изтегли съдържание отвъд своята кодова база и да го изпълни по време на работа или по време на изпълнение.

Тази опция може да доведе до по-малък размер на приложението, тъй като обичайната практика е да съхранявате кода отдалечено, вместо да го вграждате в Пакет за Android (APK).

APK е файловият формат, който Android използва, когато разпространява и инсталира приложения. Той съдържа всички компоненти за приложение, което да работи на съвместимо устройство. Динамичното зареждане на кода носи предимства от гледна точка на разработката, включително някои, които подобряват използваемостта на приложенията.

Например приложението може да показва различно съдържание на човек в зависимост от това дали използва безплатната или премиум версия. Динамичното зареждане на код може да показва правилното съдържание въз основа на нивото на потребителя, без да увеличава размера на APK файла.

Освен това динамичното зареждане на кода позволява на разработчиците да пускат нови версии на приложения, съдържащи незначителни промени. Потребителите получават най-новите версии, без да изтеглят нищо.

Въпреки тези предимства, динамичното зареждане на кода може да повиши рисковете, свързани със сигурността на приложението за Android.

Злонамерените приложения често включват динамично зареждане на код

Авторите на изследователска статия от 2019 г. изследват злонамерени приложения за Android, за да открият общите им черти. Те цитираха предишни изследвания, завършени от други страни, които показаха динамичното зареждане на кода като основна характеристика на опасните приложения.

Близо 20 000 от 86 798 приложения през едно разследване имаше динамично зареждане на код.

Допълнителни разяснения показаха, че хората поставят основната функционалност на опасното приложение в независими библиотеки, след което използват динамично зареждане на код, за да го стартират. Този подход защитава злонамереното поведение на приложението, което го прави по-малко забележим.

Документацията на Google относно типовете зловреден софтуер, който открива, дори изяснява, че злоупотребата с динамичен код може да бъде маркирана като скрито разнообразие. Компанията определя задния ход на зловредния софтуер като изпълнение на потенциално вредни, дистанционно контролирани действия върху устройство. След това даде пример за динамично зареждане на код, което позволява на приложението да извлича текстови съобщения.

Google обаче казва, че проверява дали изпълнението на кода изрично извършва злонамерено поведение. В противен случай компанията третира произволното изпълнение на код като уязвимост, която разработчикът трябва да поправи.

В случаи на опасни приложения, произволното изпълнение на код позволява на хакера да изпълнява дистанционно команди на целево устройство.

Изследователите идентифицират проблем с зареждането на динамичен код

Google често предприема решителни действия за повишаване на сигурността на потребителите. Например бисквитките на трети страни проследяват потребителите, запазват информацията им и по-късно я използват, за да им показват насочени реклами. Компанията обаче ще го направи блокиране на бисквитки на трети страни в браузъра Chrome до 2022г. То не посочва конкретна дата за промяната.

Фокусирането върху сигурността обаче не освобождава компанията от проблеми. Изследователите на киберсигурността установиха постоянното произволно изпълнение на код в рамките на Приложението Google и го докладва на компанията. Проблемът беше отстранен през май 2021 г., но накара повече хора да обърнат внимание на потенциални проблеми, свързани с динамичното зареждане на кода.

Изследователите потвърдиха, че уязвимостта ще позволи на нападателя да стартира приложение само веднъж, преди да открадне данните на човек на Google. Хакер може да използва недостатъка на приложението Google, за да извлече кодова библиотека от опасно приложение на устройството на човек.

Оттам киберпрестъпникът може да има достъп до почти всички данни на човек на Google, включително имейлите им. Те дори биха могли да активират микрофона, камерата и информацията за местоположението в реално време на потребителя.

Обърнете внимание на предупрежденията за опасни уязвимости на приложения

Тъй като динамичното зареждане на кода се случва в края на разработката, средният потребител на приложение не може да направи нищо проверете дали дадено предложение може да крие скрити опасности, свързани с това как функционира в заден план. Разумно е обаче да внимавате за всеки Сигурност на приложението за Android новини, които попадат в заглавията на технологиите.

Изследователите по киберсигурност непрекъснато търсят проблеми, които биха могли да изложат стотици хиляди потребители на приложения, след което да докладват за тях. Да бъдете наясно с потенциалните опасности за приложенията ще помогне на потребителите да решат дали и кога да актуализират или изтрият потенциално проблематично приложение.

10 популярни приложения за Android, които НЕ трябва да инсталирате

Тези приложения за Android са изключително популярни, но също така компрометират вашата сигурност и поверителност. Ако сте ги инсталирали, ще искате да ги деинсталирате, след като прочетете това.

Прочетете Напред

За автора