Kad cilvēki izmanto Android lietojumprogrammas, viss, kas notiek fonā, parasti viņiem neienāk prātā. Diemžēl programmēšanas opcija, ko sauc par dinamisko koda ielādi, var radīt drošības riskus. Lūk, kas jums par to jāzina.
Kas ir dinamiskā koda ielāde?
Programmu izstrādē koda bāzi veido viss avota kods, ko izmanto, veidojot lietotni. Dinamiskā koda ielāde ļauj lietotnei izvilkt saturu ārpus savas koda bāzes un izpildīt to darbības vai izpildlaika laikā.
Izmantojot šo opciju, lietotnes izmērs var būt mazāks, jo izplatīta prakse ir koda glabāšana attālināti, nevis iegulšana kodā Android paku komplekts (APK).
APK ir faila formāts, kuru Android izmanto, izplatot un instalējot lietotnes. Tas satur visus lietotnes komponentus darbam ar saderīgu ierīci. Dinamiskā koda ielāde sniedz priekšrocības no attīstības viedokļa, tostarp tādas, kas uzlabo lietotņu lietojamību.
Piemēram, lietotne var rādīt atšķirīgu saturu personai atkarībā no tā, vai tā izmanto bezmaksas vai augstākās klases versiju. Dinamiska koda ielāde var parādīt pareizu saturu, pamatojoties uz lietotāja līmeni, nepalielinot APK lielumu.
Turklāt dinamiskā koda ielāde ļauj izstrādātājiem izlaist jaunas lietotņu versijas, kurās ir nelielas izmaiņas. Lietotāji iegūst jaunākās versijas, neko nelādējot.
Neskatoties uz šīm priekšrocībām, dinamiskā koda ielāde var radīt riskus, kas saistīti ar Android lietotņu drošību.
Ļaunprātīgās lietotnēs bieži tiek ievietota dinamiskā koda ielāde
2019. gada pētījuma autori pārbaudīja ļaunprātīgas Android lietotnes, lai atrastu to kopīgās iezīmes. Viņi minēja iepriekšējo pētījumu, ko veica citas puses, kas parādīja dinamisku kodu ielādi kā galveno bīstamo lietotņu iezīmi.
Gandrīz 20 000 no 86 798 lietotnēm viena izmeklēšana bija dinamiska koda ielāde.
Papildu paskaidrojums norādīja, ka cilvēki bīstamās lietotnes pamatfunkcijas ievieto neatkarīgās bibliotēkās un pēc tam izmanto dinamisko kodu ielādi, lai to palaistu. Šī pieeja pasargā lietotnes ļaunprātīgo rīcību, padarot to mazāk nosakāmu.
Google dokumentācija par ļaunprātīgas programmatūras veidiem, ko tā atklāj, pat tiek paskaidrots, ka nepareiza dinamiskā koda izmantošana var tikt atzīmēta kā aizmugures šķirne. Uzņēmums definē aizmugures durvju ļaunprogrammatūru kā potenciāli kaitīgu, ar tālvadību vadītu darbību izpildi ierīcē. Tad tas deva dinamiskas koda ielādes piemēru, kas ļauj lietotnei iegūt īsziņas.
Tomēr Google saka, ka tā pārbauda, vai koda izpilde tieši veic ļaunprātīgu rīcību. Ja nē, uzņēmums pret patvaļīgu koda izpildi izturas kā pret ievainojamību, ko izstrādātājs var ielāpīt.
Bīstamu lietotņu gadījumā patvaļīga koda izpilde ļauj hakerim attālināti izpildīt komandas mērķorientētā ierīcē.
Pētnieki identificē dinamiskā koda ielādes problēmu
Google bieži veic izlēmīgas darbības, lai palielinātu lietotāju drošību. Piemēram, trešo pušu sīkfaili izseko lietotājus, saglabā viņu informāciju un vēlāk to izmanto, lai parādītu viņiem mērķētas reklāmas. Tomēr uzņēmums to darīs bloķēt trešo pušu sīkfailus pārlūkprogrammā Chrome līdz 2022. gadam. Tajā nebija norādīts konkrēts izmaiņu datums.
Koncentrēšanās uz drošību tomēr neatbrīvo uzņēmumu no problēmām. Kiberdrošības pētnieki atklāja pastāvīgu patvaļīgu koda izpildi Google lietotne un ziņoja par to uzņēmumam. Jautājums tika novērsts 2021. gada maijā, taču tas lika vairāk cilvēkiem pievērst uzmanību iespējamām problēmām, kas saistītas ar koda dinamisko ielādi.
Pētnieki apstiprināja, ka ievainojamība ļaus uzbrucējam palaist lietotni tikai vienu reizi, pirms nozagt personas Google datus. Hakeris varētu izmantot Google lietotnes kļūdu, lai izvilktu kodu bibliotēku no bīstamas lietotnes personas ierīcē.
No turienes kibernoziedznieks varēja piekļūt gandrīz visiem personas Google datiem, tostarp viņu e-pastiem. Viņi pat varētu aktivizēt lietotāja mikrofonu, kameru un reāllaika informāciju par atrašanās vietu.
Pievērsiet uzmanību brīdinājumiem par bīstamām lietotņu ievainojamībām
Tā kā dinamiskā koda ielāde notiek izstrādes beigās, parasts lietotnes lietotājs neko nevar darīt pārbaudīt, vai noteikts piedāvājums var radīt slēptas briesmas saistībā ar tā darbību fons. Tomēr ir saprātīgi nepamanīt nevienu Android lietotņu drošība ziņas, kas nonāk tehnoloģiju virsrakstos.
Kiberdrošības pētnieki pastāvīgi meklē problēmas, kas varētu apdraudēt simtiem tūkstošu lietotņu lietotāju, un pēc tam ziņo par tām. Informēšana par iespējamām lietotņu briesmām palīdzēs lietotājiem izlemt, vai un kad atjaunināt vai dzēst potenciāli problemātisku lietojumprogrammu.
Šīs Android lietotnes ir ārkārtīgi populāras, taču tās apdraud arī jūsu drošību un privātumu. Ja esat tos instalējis, pēc to izlasīšanas vēlaties tos atinstalēt.
Lasiet Tālāk
- Tehnoloģija izskaidrota
- Android
- Drošība
- Viedtālruņa drošība
- Ļaunprātīga programmatūra
Šenons ir satura veidotājs, kas atrodas Filly, PA. Viņa ir rakstījusi tehnoloģiju jomā apmēram 5 gadus pēc tam, kad absolvējusi IT grādu. Šenons ir žurnāla ReHack vadošais redaktors un aptver tādas tēmas kā kiberdrošība, spēles un biznesa tehnoloģijas.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!
Vēl viens solis !!!
Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.
