Ko ljudje uporabljajo aplikacije za Android, jim vse, kar se dogaja v ozadju, običajno ne pade na pamet. Žal programska možnost, imenovana dinamično nalaganje kode, lahko predstavlja varnostno tveganje. Tukaj morate vedeti o tem.
Kaj je nalaganje dinamične kode?
Pri razvoju aplikacij celotna izvorna koda, uporabljena pri izdelavi aplikacije, sestavlja kodno bazo. Dinamično nalaganje kode omogoča, da aplikacija povleče vsebino izven svoje kode in jo izvede med delovanjem ali med izvajanjem.
Ta možnost lahko povzroči manjšo velikost aplikacije, ker je običajna praksa, da kodo shranite na daljavo, namesto da jo vdelate v Komplet paketov Android (APK).
APK je oblika datoteke, ki jo Android uporablja pri distribuciji in namestitvi aplikacij. Vsebuje vse komponente za delovanje aplikacije v združljivi napravi. Dinamično nalaganje kode prinaša prednosti z vidika razvoja, vključno z nekaterimi, ki izboljšujejo uporabnost aplikacij.
Na primer, aplikacija lahko osebi prikazuje različno vsebino, odvisno od tega, ali uporablja brezplačno ali premium različico. Dinamično nalaganje kode lahko prikaže pravilno vsebino na podlagi uporabnikove stopnje, ne da bi se povečala velikost APK-ja.
Poleg tega dinamično nalaganje kode omogoča razvijalcem, da izdajo nove različice aplikacij, ki vsebujejo manjše spremembe. Uporabniki dobijo najnovejše različice, ne da bi kar koli prenesli.
Kljub tem prednostim lahko dinamično nalaganje kode poveča tveganje, povezano z varnostjo aplikacij za Android.
Zlonamerne aplikacije imajo pogosto dinamično nalaganje kode
Avtorji raziskovalnega članka iz leta 2019 so preučili zlonamerne aplikacije za Android, da bi ugotovili njihove skupne značilnosti. Kot glavno značilnost nevarnih aplikacij so navedli prejšnje raziskave, ki so jih opravile druge stranke in so pokazale dinamično nalaganje kode.
Skoraj 20.000 od 86.798 aplikacij v Ljubljani ena preiskava je imel dinamično nalaganje kode.
Nadaljnja pojasnila so pokazala, da ljudje v neodvisne knjižnice vstavijo osnovno funkcionalnost nevarne aplikacije, nato pa jo zaženejo z dinamičnim nalaganjem kode. Ta pristop ščiti zlonamerno vedenje aplikacije in jo naredi manj zaznavno.
Googlova dokumentacija o vrstah zlonamerne programske opreme, ki jo zazna, celo pojasnjuje, da bi lahko bila zloraba dinamične kode označena kot zakulisna sorta. Družba opredeljuje zlonamerno programsko opremo v zakulisju kot izvajanje potencialno škodljivih, daljinsko vodenih dejanj na napravi. Nato je dal primer dinamičnega nalaganja kode, ki omogoča aplikaciji, da izvleče besedilna sporočila.
Vendar Google pravi, da preučuje, ali izvajanje kode izrecno izvaja zlonamerno vedenje. V nasprotnem primeru podjetje samovoljno izvajanje kode obravnava kot ranljivost, ki jo mora razvijalec popraviti.
V primerih nevarnih aplikacij poljubno izvajanje kode hekerju omogoča oddaljeno izvajanje ukazov na ciljni napravi.
Raziskovalci prepoznajo težavo z nalaganjem dinamične kode
Google pogosto sprejema odločne ukrepe za povečanje varnosti uporabnikov. Na primer, piškotki tretjih oseb sledijo uporabnikom, shranijo njihove podatke in jih kasneje uporabijo za prikaz ciljanih oglasov. Vendar pa bo podjetje blokiranje piškotkov tretjih oseb v brskalniku Chrome do leta 2022. Ni navedel natančnega datuma spremembe.
Osredotočanje na varnost pa podjetja ne osvobodi težav. Raziskovalci kibernetske varnosti so v Aplikacija Google in jo prijavil podjetju. Težava je bila odpravljena maja 2021, vendar je več ljudi opozorilo na morebitne težave, povezane z dinamičnim nalaganjem kode.
Raziskovalci so potrdili, da bi ranljivost omogočala napadalcu, da samo enkrat zažene aplikacijo, preden ukrade Googlove podatke osebe. Heker bi lahko izkoristil napako Googlove aplikacije, da iz nevarne aplikacije na napravi osebe potegne knjižnico kod.
Od tam bi lahko kiber kriminalci dostopali do skoraj vseh Googlovih podatkov osebe, vključno z njihovimi e-poštnimi sporočili. Lahko celo aktivirajo uporabnikov mikrofon, kamero in podatke o lokaciji v realnem času.
Bodite pozorni na opozorila o nevarnih ranljivostih aplikacij
Ker se dinamično nalaganje kode zgodi na koncu razvoja, povprečni uporabnik aplikacije ne more storiti ničesar preverite, ali lahko določena ponudba predstavlja skrite nevarnosti, povezane z delovanjem v ozadje. Vendar je pametno paziti na vse Varnost aplikacije za Android novice, ki prihajajo na tehnološke naslove.
Raziskovalci kibernetske varnosti nenehno iščejo težave, ki bi lahko ogrozile stotine tisoč uporabnikov aplikacij, in nato o njih poročajo. Če se zavedate morebitnih nevarnosti aplikacij, se bodo uporabniki lažje odločili, ali in kdaj bodo posodobili ali izbrisali potencialno problematično aplikacijo.
Te aplikacije za Android so izjemno priljubljene, hkrati pa ogrožajo vašo varnost in zasebnost. Če so nameščene, jih boste po branju želeli odstraniti.
Preberite Naprej
- Pojasnjena tehnologija
- Android
- Varnost
- Varnost pametnega telefona
- Zlonamerna programska oprema
Shannon je ustvarjalka vsebin s sedežem v Phillyju, PA. Na področju tehnike piše približno 5 let po diplomi iz informatike. Shannon je odgovorna urednica revije ReHack in pokriva teme, kot so kibernetska varnost, igre na srečo in poslovna tehnologija.
Naročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!
Še en korak…!
Potrdite svoj e-poštni naslov v e-poštnem sporočilu, ki smo vam ga pravkar poslali.