Amikor az emberek Android-alkalmazásokat használnak, bármi is történik a háttérben, általában nem jut eszükbe. Sajnos a dinamikus kódbetöltésnek nevezett programozási opció biztonsági kockázatokat jelenthet. Itt van, amit tudnia kell róla.

Mi a dinamikus kód betöltése?

Az alkalmazásfejlesztésben az alkalmazás felépítésekor használt teljes forráskód alkotja a kódbázist. A dinamikus kódbetöltés lehetővé teszi az alkalmazás számára, hogy a tartalmát a kódbázisán túlról lehúzza, és működés közben vagy futás közben futtassa.

Ez az opció kisebb alkalmazásméretet eredményezhet, mert az általános gyakorlat, hogy a kódot távolról kell tárolni ahelyett, hogy beágyazná a Android csomagkészlet (APK).

Az APK az Android által az alkalmazások terjesztésekor és telepítésekor használt fájlformátum. Ez tartalmazza az összes összetevőt ahhoz, hogy egy alkalmazás kompatibilis eszközön működjön. A dinamikus kódbetöltés előnyökkel jár fejlesztési szempontból, beleértve azokat is, amelyek javítják az alkalmazások használhatóságát.

instagram viewer

Például egy alkalmazás eltérő tartalmat jeleníthet meg egy személy számára attól függően, hogy az ingyenes vagy a prémium verziót használja-e. A dinamikus kódbetöltés az APK méretének növelése nélkül képes megjeleníteni a helyes tartalmat a felhasználó szintje alapján.

Ezenkívül a dinamikus kódbetöltés lehetővé teszi a fejlesztők számára, hogy kisebb változtatásokat tartalmazó új verziókat adjanak ki. A felhasználók semmilyen letöltés nélkül kapják meg a legújabb verziókat.

Ezen előnyök ellenére a dinamikus kódbetöltés kockázatokat vethet fel az Android alkalmazás biztonságával kapcsolatban.

A rosszindulatú alkalmazások gyakran dinamikus kódbetöltést tartalmaznak

A 2019-es kutatási cikk szerzői a rosszindulatú Android-alkalmazásokat vizsgálták, hogy megtalálják a közös vonásaikat. Hivatkoztak más felek korábbi kutatásaira, amelyek a dinamikus kódbetöltést mutatták be, mint a veszélyes alkalmazások legfőbb jellemzőjét.

A 86 798 alkalmazásból csaknem 20 000 van egy vizsgálat dinamikus kód betöltése volt.

A további pontosítás azt jelezte, hogy az emberek egy veszélyes alkalmazás alapvető funkcióit független könyvtárakba helyezik, majd futtatásához dinamikus kódbetöltést használnak. Ez a megközelítés védi az alkalmazás rosszindulatú viselkedését, így kevésbé érzékelhető.

A Google dokumentációja az általa észlelt rosszindulatú programokról még azt is tisztázza, hogy a dinamikus kódokkal való visszaélés backdoor változatként jelölhető meg. A vállalat úgy definiálja a hátsó ajtó kártevő programját, hogy potenciálisan káros, távvezérelt műveleteket hajt végre egy eszközön. Ezután példát adott a dinamikus kódbetöltésről, amely lehetővé tette egy alkalmazás számára a szöveges üzenetek kibontását.

A Google azonban azt vizsgálja, hogy a kódfuttatás kifejezetten rosszindulatú viselkedést hajt végre-e. Ha nem, akkor a vállalat az önkényes kódfuttatást sebezhetőségként kezeli a fejlesztő javításakor.

Veszélyes alkalmazások esetén az önkényes kódfuttatás lehetővé teszi, hogy egy hacker távolról hajtson végre parancsokat egy megcélzott eszközön.

A kutatók azonosítanak egy dinamikus kódbetöltési problémát

A Google gyakran döntő lépéseket tesz a felhasználók biztonságának növelése érdekében. Például harmadik féltől származó sütik nyomon követik a felhasználókat, elmentik adataikat, és később felhasználják őket célzott hirdetések megjelenítéséhez. A cég azonban megteszi blokkolja a harmadik féltől származó sütiket a Chrome böngészőben 2022-ig. Nem adott konkrét időpontot a változásra.

A biztonságra való összpontosítás azonban nem teszi mentessé a problémákat. A kiberbiztonsági kutatók állandó önkényes kódfuttatást találtak a Google alkalmazás és jelentette a társaságnak. A problémát 2021 májusában sikerült megoldani, de ez több embert figyelt fel a dinamikus kódbetöltéssel kapcsolatos lehetséges problémákra.

A kutatók megerősítették, hogy a biztonsági rés lehetővé teszi, hogy a támadó csak egyszer indítson alkalmazást, mielőtt ellopná egy személy Google adatait. Egy hacker kihasználhatja a Google alkalmazás hibáját, hogy kódtárat húzhasson ki egy veszélyes alkalmazásból egy személy eszközén.

Innen a számítógépes bűnöző hozzáférhet egy személy Google összes adatához, beleértve e-mailjeit is. Akár aktiválhatják a felhasználó mikrofonját, kameráját és valós idejű helyinformációit.

Ügyeljen a veszélyes alkalmazás biztonsági réseire vonatkozó figyelmeztetésekre

Mivel a dinamikus kód betöltése a fejlesztés végén történik, egy átlagos alkalmazás felhasználó nem tehet semmit annak ellenőrzése, hogy egy bizonyos ajánlat rejtett veszélyeket rejthet - e a háttér. Bölcs dolog azonban szemmel tartani bármelyiket Android-alkalmazások biztonsága hírek, amelyek eljutnak a technikai címoldalakhoz.

A kiberbiztonsági kutatók folyamatosan keresik azokat a kérdéseket, amelyek több százezer alkalmazásfelhasználót veszélyeztethetnek, majd beszámolnak róluk. Az alkalmazás lehetséges veszélyeinek ismerete segít a felhasználóknak eldönteni, hogy mikor és mikor frissítsék vagy töröljék a potenciálisan problémás alkalmazást.

Email
10 népszerű Android-alkalmazás, amelyeket NEM szabad telepíteni

Ezek az Android-alkalmazások rendkívül népszerűek, de veszélyeztetik a biztonságot és a magánéletet is. Ha telepítette őket, akkor ezt el kell olvasnia.

Olvassa el a következőt

Kapcsolódó témák
  • Technológia magyarázata
  • Android
  • Biztonság
  • Smartphone biztonság
  • Rosszindulatú
A szerzőről
Shannon Flynn (4 cikk megjelent)

Shannon egy tartalomalkotó, Philly, PA. Körülbelül 5 éve ír a műszaki területen, miután informatikus diplomát szerzett. Shannon a ReHack Magazine ügyvezető szerkesztője, és olyan témákkal foglalkozik, mint a kiberbiztonság, a játék és az üzleti technológia.

Shannon Flynn további alkotásai

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.