Los teléfonos móviles se han convertido cada vez más en el depósito de los detalles que impulsan nuestra vida cotidiana. Pero los investigadores de Virginia Tech descubrieron recientemente que las mismas aplicaciones que usamos regularmente en nuestros teléfonos para organizar las fechas de almuerzo, realizar compras en línea convenientes y comunicar lo más íntimodetalles de nuestra existencia han estado coludiendo en secreto para extraer nuestra información.
El profesor asociado Daphne Yao y el profesor asistente Gang Wang, ambos en el Departamento de Ciencias de la Computación de la Facultad de Ingeniería de Virginia Tech, son parte de un equipo de investigación para llevar a cabo el primer estudio sistemático y a gran escala de cómo funcionan las aplicaciones de confianzaLos teléfonos Android pueden comunicarse entre ellos e intercambiar información.
Yao presentará los hallazgos del equipo en Dubai en la Conferencia de Seguridad de Computación y Comunicaciones de la Asociación para la Computación de Maquinaria de Asia el 3 de abril.
"Los investigadores sabían que las aplicaciones pueden comunicarse entre sí de alguna manera o forma", dijo Wang. "Lo que este estudio muestra sin lugar a dudas con evidencia del mundo real una y otra vez es que el comportamiento de la aplicación, ya sea intencionalo no, puede suponer una violación de seguridad dependiendo del tipo de aplicaciones que tenga en su teléfono "
Los tipos de amenazas se dividen en dos categorías principales, ya sea una aplicación de malware diseñada específicamente para lanzar un ataque cibernético o aplicaciones que simplemente permiten la colusión y la escalada de privilegios. En la última categoría, no es posible cuantificar la intención dedesarrollador, por lo que la colusión, aunque sigue siendo una violación de seguridad, en muchos casos puede ser involuntaria.
Para ejecutar los programas para probar pares de aplicaciones, el equipo desarrolló una herramienta llamada DIALDroid para realizar su análisis de seguridad masivo entre aplicaciones. El estudio, financiado por la Agencia de Proyectos de Investigación Avanzada de Defensa como parte de su Análisis Automático de Programas paraLa iniciativa de ciberseguridad tardó 6,340 horas usando el software DIALDroid recientemente desarrollado, una tarea que hubiera sido considerablemente más larga sin él.
Primer autor del artículo Amiangshu Bosu, profesor asistente de la Universidad del Sur de Illinois, encabezó el esfuerzo de desarrollo de software y el impulso para lanzar el código a la comunidad de investigación más amplia. Fang Liu, un candidato a doctorado de quinto año que estudia con Yao, también contribuyó a la investigación de detección de malware.
"Nuestro equipo pudo explotar las fortalezas de las bases de datos relacionales para completar el análisis, en combinación con un análisis eficiente de programas estáticos, ingeniería y optimización del flujo de trabajo, y la utilización de computación de alto rendimiento. De las aplicaciones que estudiamos, encontramos miles depares de aplicaciones que podrían filtrar información confidencial del teléfono o personal y permitir que aplicaciones no autorizadas tengan acceso a datos privilegiados ", dijo Yao, quien es Elizabeth y James E. Turner Jr. '56 y miembro de la facultad L-3.
El equipo estudió la increíble cantidad de 110,150 aplicaciones durante tres años, incluidas 100,206 de las aplicaciones más populares de Google Play y 9,994 aplicaciones de malware de Virus Share, una colección privada de muestras de aplicaciones de malware.esa aplicación linterna práctica y ubicua funciona en conjunto con una aplicación receptora para divulgar la información de un usuario, como contactos, geolocalización o proporcionar acceso a la web.
El equipo descubrió que los mayores riesgos de seguridad eran algunos de los menos utilitarios. Aplicaciones relacionadas con la personalización de tonos de llamada, widgets y emojis.
"La seguridad de las aplicaciones es un poco como el Salvaje Oeste en este momento con pocas regulaciones", dijo Wang. "Esperamos que este documento sea una fuente para que la industria considere volver a examinar sus prácticas de desarrollo de software e incorporar salvaguardas en la parte delantera"Si bien no podemos cuantificar cuál es la intención de los desarrolladores de aplicaciones en los casos que no son de malware, al menos podemos dar a conocer este problema de seguridad con las aplicaciones móviles para los consumidores que anteriormente no pensaban mucho sobre lo que estaban descargando en sus teléfonos".
Fuente de la historia :
Materiales proporcionado por Virginia Tech . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :