Keď ľudia používajú aplikácie pre Android, čokoľvek sa deje na pozadí, ich zvyčajne nenapadne. Bohužiaľ, programovacia možnosť zvaná dynamické načítanie kódu môže predstavovať bezpečnostné riziká. Tu je to, čo potrebujete vedieť.
Čo je dynamické načítanie kódu?
Pri vývoji aplikácie tvorí základ kódu celý zdrojový kód použitý pri vytváraní aplikácie. Dynamické načítanie kódu umožňuje aplikácii načítať obsah spoza jeho kódovej základne a spúšťať ho počas prevádzky alebo za behu.
Táto možnosť môže mať za následok menšiu veľkosť aplikácie, pretože bežnou praxou je ukladanie kódu na diaľku namiesto jeho vloženia do súboru Android balíček (APK).
APK je formát súboru, ktorý Android používa pri distribúcii a inštalácii aplikácií. Obsahuje všetky komponenty, aby aplikácia fungovala na kompatibilnom zariadení. Dynamické načítanie kódu prináša výhody z hľadiska vývoja, vrátane tých, ktoré zlepšujú použiteľnosť aplikácie.
Aplikácia môže napríklad osobe zobraziť odlišný obsah v závislosti od toho, či používa bezplatnú alebo prémiovú verziu. Dynamické načítanie kódu dokáže zobraziť správny obsah na základe úrovne používateľa bez zväčšenia veľkosti súboru APK.
Dynamické načítanie kódu navyše umožňuje vývojárom vydávať nové verzie aplikácií, ktoré obsahujú menšie zmeny. Používatelia dostanú najnovšie verzie bez toho, aby si niečo sťahovali.
Napriek týmto výhodám môže dynamické načítanie kódu zvýšiť riziko spojené s bezpečnosťou aplikácií pre Android.
Škodlivé aplikácie často obsahujú dynamické načítanie kódu
Autori výskumného príspevku z roku 2019 skúmali škodlivé aplikácie pre Android, aby zistili ich spoločné črty. Uviedli predchádzajúci výskum dokončený inými stranami, ktorý ukázal, že dynamické načítanie kódu je hlavnou črtou nebezpečných aplikácií.
Takmer 20 000 z 86 798 aplikácií v jedno vyšetrovanie mal dynamické načítanie kódu.
Ďalšie objasnenie naznačilo, že ľudia vložili základné funkcie nebezpečnej aplikácie do nezávislých knižníc a potom ju spustili pomocou načítania dynamického kódu. Tento prístup chráni škodlivé správanie aplikácie, vďaka čomu je menej detekovateľný.
Dokumentácia spoločnosti Google o typoch škodlivého softvéru, ktoré zistí, dokonca objasňuje, že zneužitie dynamického kódu by mohlo byť označené ako odroda backdoor. Spoločnosť definuje škodlivý softvér typu backdoor ako vykonávanie potenciálne škodlivých, diaľkovo ovládaných akcií na zariadení. Ďalej poskytla príklad dynamického načítania kódu, ktorý aplikácii umožňuje extrahovať textové správy.
Google však tvrdí, že sa zameriava na to, či vykonávanie kódu výslovne nevyvoláva škodlivé správanie. Ak nie, považuje spoločnosť spustenie ľubovoľného kódu za zraniteľnú oblasť, ktorú musí vývojár opraviť.
V prípade nebezpečných aplikácií umožňuje ľubovoľné spustenie kódu hackerovi vzdialené vykonávanie príkazov na cieľovom zariadení.
Vedci identifikujú problém s načítaním dynamického kódu
Google často prijíma rozhodné opatrenia na zvýšenie bezpečnosti používateľov. Napríklad súbory cookie tretích strán sledujú používateľov, ukladajú ich informácie a neskôr ich používajú na zobrazovanie zacielených reklám. Spoločnosť však bude blokovať súbory cookie tretích strán v prehliadači Chrome do roku 2022. Neuviedol konkrétny dátum zmeny.
Zameranie na bezpečnosť však neznamená, že spoločnosť nebude mať problémy. Vedci v oblasti kybernetickej bezpečnosti našli v serveri trvalé vykonávanie ľubovoľných kódov Aplikácia Google a nahlásil to spoločnosti. Problém bol opravený v máji 2021, vďaka čomu však viac ľudí muselo venovať pozornosť potenciálnym problémom spojeným s dynamickým načítaním kódu.
Vedci potvrdili, že zraniteľnosť umožní útočníkovi spustiť aplikáciu iba raz a potom ukradnúť údaje Google. Hacker by mohol využiť chybu aplikácie Google na stiahnutie knižnice kódov z nebezpečnej aplikácie v zariadení osoby.
Odtiaľ by mal počítačový zločinec prístup k takmer všetkým údajom spoločnosti Google vrátane ich e-mailov. Mohli dokonca aktivovať mikrofón, kameru používateľa a informácie o polohe v reálnom čase.
Venujte pozornosť upozorneniam na nebezpečné chyby aplikácií
Pretože dynamické načítanie kódu sa deje na konci vývoja, priemerný používateľ aplikácie nemôže nič robiť overiť, či určitá ponuka nemôže predstavovať skryté nebezpečenstvo spojené s jej fungovaním v systéme Windows pozadie. Je však rozumné dávať pozor na akékoľvek Zabezpečenie aplikácií pre Android správy, ktoré sa dostanú na technologické titulky.
Výskumníci v oblasti kybernetickej bezpečnosti neustále hľadajú problémy, ktoré by mohli ohroziť státisíce používateľov aplikácií, a potom o nich informujú. Neustále informovanie o možných nebezpečenstvách aplikácií pomôže používateľom rozhodnúť sa, či a kedy aktualizovať alebo odstrániť potenciálne problematickú aplikáciu.
Tieto aplikácie pre Android sú mimoriadne populárne, ale tiež ohrozujú vašu bezpečnosť a súkromie. Ak ich máte nainštalované, po prečítaní si ich budete chcieť odinštalovať.
Prečítajte si Ďalej
- Vysvetlená technológia
- Android
- Bezpečnosť
- Zabezpečenie smartphonu
- Malvér
Shannon je tvorca obsahu so sídlom v Philly, PA. Po technologickom odbore písala v odbore technológie asi 5 rokov. Shannon je šéfredaktorom časopisu ReHack Magazine a venuje sa témam ako kybernetická bezpečnosť, hry a obchodné technológie.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.