Γιατί οι χρήστες Android πρέπει να ενδιαφέρονται για τη δυναμική φόρτωση κώδικα

Όταν οι χρήστες χρησιμοποιούν εφαρμογές Android, ό, τι συμβαίνει στο παρασκήνιο συνήθως δεν ξεφεύγει από το μυαλό τους. Δυστυχώς, μια επιλογή προγραμματισμού που ονομάζεται δυναμική φόρτωση κώδικα μπορεί να δημιουργήσει κινδύνους ασφαλείας. Να τι πρέπει να ξέρετε για αυτό.

Τι είναι η δυναμική φόρτωση κώδικα;

Κατά την ανάπτυξη εφαρμογών, ολόκληρος ο πηγαίος κώδικας που χρησιμοποιείται κατά τη δημιουργία μιας εφαρμογής αποτελεί τη βάση κώδικα. Η δυναμική φόρτωση κώδικα επιτρέπει σε μια εφαρμογή να τραβά περιεχόμενο από πέρα ​​από τη βάση κώδικα και να το εκτελεί κατά τη διάρκεια της λειτουργίας ή του χρόνου εκτέλεσης.

Αυτή η επιλογή μπορεί να οδηγήσει σε μικρότερο μέγεθος εφαρμογής, επειδή μια συνήθης πρακτική είναι να αποθηκεύσετε τον κώδικα από απόσταση αντί να τον ενσωματώσετε στο Κιτ πακέτου Android (APK).

Το APK είναι η μορφή αρχείου που χρησιμοποιεί το Android κατά τη διανομή και την εγκατάσταση εφαρμογών. Περιέχει όλα τα στοιχεία για να λειτουργεί μια εφαρμογή σε μια συμβατή συσκευή. Η δυναμική φόρτωση κώδικα φέρνει πλεονεκτήματα από την άποψη της ανάπτυξης, συμπεριλαμβανομένων ορισμένων που βελτιώνουν τη χρηστικότητα των εφαρμογών.

Για παράδειγμα, μια εφαρμογή μπορεί να εμφανίζει διαφορετικό περιεχόμενο σε ένα άτομο ανάλογα με το αν χρησιμοποιεί τη δωρεάν ή premium έκδοση. Η δυναμική φόρτωση κώδικα μπορεί να εμφανίσει το σωστό περιεχόμενο με βάση το επίπεδο του χρήστη χωρίς να αυξήσει το μέγεθος του APK.

Επιπλέον, η δυναμική φόρτωση κώδικα επιτρέπει στους προγραμματιστές να κυκλοφορούν νέες εκδόσεις εφαρμογών που περιέχουν μικρές αλλαγές. Οι χρήστες λαμβάνουν τις πιο πρόσφατες εκδόσεις χωρίς να κατεβάσουν τίποτα.

Παρά αυτά τα πλεονεκτήματα, η δυναμική φόρτωση κώδικα μπορεί να αυξήσει κινδύνους που σχετίζονται με την ασφάλεια εφαρμογών Android.

Οι κακόβουλες εφαρμογές συχνά παρουσιάζουν δυναμική φόρτωση κώδικα

Οι συγγραφείς μιας ερευνητικής εργασίας του 2019 εξέτασαν κακόβουλες εφαρμογές Android για να βρουν τις ομοιότητές τους. Ανέφεραν προηγούμενη έρευνα που ολοκληρώθηκε από άλλα μέρη που έδειξαν δυναμική φόρτωση κώδικα ως κορυφαίο χαρακτηριστικό επικίνδυνων εφαρμογών.

Σχεδόν 20.000 από τις 86.798 εφαρμογές στο μία έρευνα είχε δυναμική φόρτωση κώδικα.

Η περαιτέρω διευκρίνιση έδειξε ότι οι άνθρωποι θέτουν τη βασική λειτουργικότητα μιας επικίνδυνης εφαρμογής σε ανεξάρτητες βιβλιοθήκες και, στη συνέχεια, χρησιμοποιούν δυναμική φόρτωση κώδικα για να την εκτελέσουν. Αυτή η προσέγγιση προστατεύει την κακόβουλη συμπεριφορά της εφαρμογής, καθιστώντας την λιγότερο ανιχνεύσιμη.

Τεκμηρίωση της Google σχετικά με τους τύπους κακόβουλου λογισμικού που εντοπίζει διευκρινίζει ακόμη και ότι η κατάχρηση δυναμικού κώδικα θα μπορούσε να επισημανθεί ως ποικιλία backdoor. Η εταιρεία ορίζει το κακόβουλο λογισμικό backdoor ως εκτελώντας δυνητικά επιβλαβείς, τηλεχειριζόμενες ενέργειες σε μια συσκευή. Στη συνέχεια έδωσε ένα παράδειγμα δυναμικής φόρτωσης κώδικα που επιτρέπει σε μια εφαρμογή να εξαγάγει μηνύματα κειμένου.

Ωστόσο, η Google αναφέρει ότι εξετάζει εάν η εκτέλεση κώδικα εκτελεί ρητά κακόβουλη συμπεριφορά. Εάν όχι, η εταιρεία αντιμετωπίζει την αυθαίρετη εκτέλεση κώδικα ως ευπάθεια για την ενημέρωση ενός προγραμματιστή.

Σε περιπτώσεις επικίνδυνων εφαρμογών, η αυθαίρετη εκτέλεση κώδικα επιτρέπει σε έναν χάκερ να εκτελεί εξ αποστάσεως εντολές σε μια στοχευμένη συσκευή.

Οι ερευνητές εντοπίζουν ένα ζήτημα φόρτωσης δυναμικού κώδικα

Η Google λαμβάνει συχνά αποφασιστικές ενέργειες για την αύξηση της ασφάλειας για τους χρήστες. Για παράδειγμα, τα cookie τρίτου μέρους παρακολουθούν τους χρήστες, αποθηκεύουν τις πληροφορίες τους και αργότερα τα χρησιμοποιούν για να τους εμφανίζουν στοχευμένες διαφημίσεις. Ωστόσο, η εταιρεία θα το κάνει αποκλεισμός cookie τρίτων στο πρόγραμμα περιήγησης Chrome έως το 2022. Δεν έδωσε συγκεκριμένη ημερομηνία για την αλλαγή.

Ωστόσο, η εστίαση στην ασφάλεια δεν κάνει μια εταιρεία απαλλαγμένη από προβλήματα. Οι ερευνητές της κυβερνοασφάλειας βρήκαν επίμονη εκτέλεση αυθαίρετου κώδικα στο Εφαρμογή Google και το ανέφεραν στην εταιρεία. Το πρόβλημα επιλύθηκε τον Μάιο του 2021, αλλά έκανε περισσότερους ανθρώπους να δώσουν προσοχή σε πιθανά προβλήματα που σχετίζονται με τη δυναμική φόρτωση κώδικα.

Οι ερευνητές επιβεβαίωσαν ότι η ευπάθεια θα επέτρεπε σε έναν εισβολέα να ξεκινήσει μια εφαρμογή μόνο μία φορά πριν κλέψει τα δεδομένα Google ενός ατόμου. Ένας χάκερ θα μπορούσε να εκμεταλλευτεί το ελάττωμα της εφαρμογής Google για να τραβήξει μια βιβλιοθήκη κώδικα από μια επικίνδυνη εφαρμογή στη συσκευή ενός ατόμου.

Από εκεί, ο εγκληματίας στον κυβερνοχώρο θα μπορούσε να έχει πρόσβαση σχεδόν σε όλα τα δεδομένα Google ενός ατόμου, συμπεριλαμβανομένων των μηνυμάτων ηλεκτρονικού ταχυδρομείου του. Θα μπορούσαν ακόμη και να ενεργοποιήσουν το μικρόφωνο, την κάμερα και τις πληροφορίες τοποθεσίας σε πραγματικό χρόνο του χρήστη.

Δώστε προσοχή στις προειδοποιήσεις σχετικά με τις επικίνδυνες ευπάθειες εφαρμογών

Δεδομένου ότι η δυναμική φόρτωση κώδικα πραγματοποιείται στο τέλος της ανάπτυξης, ένας μέσος χρήστης της εφαρμογής δεν μπορεί να κάνει τίποτα επαληθεύστε εάν μια συγκεκριμένη προσφορά ενδέχεται να δημιουργεί κρυμμένους κινδύνους που σχετίζονται με τον τρόπο λειτουργίας του στο Ιστορικό. Ωστόσο, είναι σοφό να προσέχετε τα πάντα Ασφάλεια εφαρμογών Android ειδήσεις που αγγίζουν τους τίτλους της τεχνολογίας.

Οι ερευνητές της κυβερνοασφάλειας αναζητούν συνεχώς ζητήματα που θα μπορούσαν να θέσουν σε κίνδυνο εκατοντάδες χιλιάδες χρήστες εφαρμογών και στη συνέχεια να τα αναφέρουν. Η ενημέρωση σχετικά με πιθανούς κινδύνους εφαρμογών θα βοηθήσει τους χρήστες να αποφασίσουν εάν και πότε θα ενημερώσουν ή θα διαγράψουν μια δυνητικά προβληματική εφαρμογή.

10 δημοφιλείς εφαρμογές Android που ΔΕΝ πρέπει να εγκαταστήσετε

Αυτές οι εφαρμογές Android είναι εξαιρετικά δημοφιλείς, αλλά διακυβεύουν επίσης την ασφάλεια και το απόρρητό σας. Εάν τα έχετε εγκαταστήσει, θα θέλετε να τα απεγκαταστήσετε αφού το διαβάσετε.

Διαβάστε Επόμενο

Σχετικά με τον Συγγραφέα