Kai žmonės naudojasi „Android“ programomis, viskas, kas vyksta fone, paprastai nekrenta į galvą. Deja, programavimo parinktis, vadinama dinaminiu kodo įkėlimu, gali kelti pavojų saugumui. Štai ką jūs turite žinoti apie tai.
Kas yra dinaminio kodo įkėlimas?
Kuriant programą, visas šaltinio kodas, naudojamas kuriant programą, sudaro kodo bazę. Dinaminis kodo įkėlimas leidžia programai ištraukti turinį iš už savo kodo bazės ir jį vykdyti veikiant ar vykdymo metu.
Naudojant šią parinktį programos dydis gali būti mažesnis, nes įprasta kodą saugoti nuotoliniu būdu, o ne įdėti į „Android“ paketų rinkinys (APK).
APK yra failo formatas, kurį „Android“ naudoja platindama ir diegdama programas. Jame yra visi programos komponentai, skirti veikti suderinamame įrenginyje. Dinaminis kodo įkėlimas teikia pranašumų kūrimo požiūriu, įskaitant kai kuriuos, kurie pagerina programų naudojimą.
Pavyzdžiui, programa gali rodyti skirtingą turinį asmeniui, atsižvelgiant į tai, ar jis naudoja nemokamą, ar aukščiausios kokybės versiją. Dinamiškai įkeliant kodą galima rodyti teisingą turinį, atsižvelgiant į vartotojo pakopą, nedidinant APK dydžio.
Be to, dinaminis kodo įkėlimas leidžia kūrėjams išleisti naujas programų versijas su nedideliais pakeitimais. Vartotojai gauna naujausias versijas nieko neatsisiųsdami.
Nepaisant šių pranašumų, dinaminis kodo įkėlimas gali kelti riziką, susijusią su „Android“ programų saugumu.
Kenkėjiškos programos dažnai pateikia dinaminį kodo įkėlimą
2019 m. Tyrimo straipsnio autoriai ištyrė kenkėjiškas „Android“ programas, kad surastų jų bendrumų. Jie nurodė ankstesnius kitų šalių atliktus tyrimus, kurie parodė dinamišką kodų įkėlimą kaip svarbiausią pavojingų programų ypatybę.
Beveik 20 000 iš 86 798 programų vienas tyrimas turėjo dinamišką kodo įkėlimą.
Tolesnis paaiškinimas parodė, kad žmonės įtraukia pavojingos programos pagrindinę funkciją į nepriklausomas bibliotekas, tada naudoja dinaminį kodo įkėlimą. Toks požiūris apsaugo nuo kenkėjiškos programos elgsenos, todėl ją lengviau aptikti.
„Google“ dokumentai apie aptinkamas kenkėjiškų programų rūšis netgi paaiškina, kad netinkamas dinaminis kodas gali būti pažymėtas kaip užpakalinė įvairovė. Bendrovė užpakalinėje kenkėjišką programą apibrėžia kaip potencialiai žalingų, nuotoliniu būdu valdomų įrenginio veiksmų vykdymą. Tada jis pateikė dinaminio kodo įkėlimo pavyzdį, leidžiantį programai išgauti tekstinius pranešimus.
Tačiau „Google“ teigia, kad ji tikrina, ar kodo vykdymas aiškiai vykdo kenkėjišką elgesį. Jei ne, įmonė traktuoja savavališką kodo vykdymą kaip pažeidžiamumą, kurį kūrėjas gali pataisyti.
Pavojingų programų atvejais savavališkas kodo vykdymas leidžia įsilaužėliui nuotoliniu būdu vykdyti komandas tiksliniame įrenginyje.
Tyrėjai nustato dinaminio kodo įkėlimo problemą
„Google“ dažnai imasi ryžtingų veiksmų, kad padidintų vartotojų saugumą. Pavyzdžiui, trečiųjų šalių slapukai stebi vartotojus, išsaugo jų informaciją ir vėliau ją naudoja rodydami jiems taikomus skelbimus. Tačiau įmonė tai padarys blokuoti trečiųjų šalių slapukus „Chrome“ naršyklėje iki 2022 m. Joje nebuvo nurodyta konkreti pakeitimo data.
Dėmesys saugumui neatleidžia įmonės nuo problemų. Kibernetinio saugumo tyrėjai rado nuolatinį savavališką kodo vykdymą „Google“ programa ir pranešė apie tai įmonei. Problema buvo išspręsta 2021 m. Gegužės mėn., Tačiau tai privertė daugiau žmonių atkreipti dėmesį į galimas problemas, susijusias su dinaminiu kodo įkėlimu.
Tyrėjai patvirtino, kad pažeidžiamumas leis užpuolikui paleisti programą tik vieną kartą prieš pavogdamas asmens „Google“ duomenis. Įsilaužėlis galėtų pasinaudoti „Google“ programos trūkumu, kad ištrauktų kodų biblioteką iš pavojingos programos asmens įrenginyje.
Iš ten kibernetinis nusikaltėlis galėjo pasiekti beveik visus asmens „Google“ duomenis, įskaitant jų el. Pašto adresus. Jie netgi galėjo suaktyvinti vartotojo mikrofoną, fotoaparatą ir vietą realiuoju laiku.
Atkreipkite dėmesį į įspėjimus apie pavojingus programų pažeidžiamumus
Kadangi dinaminis kodas įkeliamas kūrimo pabaigoje, vidutinis programos vartotojas nieko negali padaryti patikrinti, ar tam tikras pasiūlymas gali kelti paslėptus pavojus, susijusius su jo veikimu fonas. Tačiau protinga stebėti bet kurį „Android“ programų sauga naujienos, pasiekiančios technikos antraštes.
Kibernetinio saugumo tyrėjai nuolat ieško problemų, dėl kurių gali kilti pavojus šimtams tūkstančių programų vartotojų, tada praneša apie jas. Žinodami galimus programos pavojus, vartotojai galės nuspręsti, ar ir kada atnaujinti ar ištrinti potencialiai problemišką programą.
Šios „Android“ programos yra itin populiarios, tačiau jos taip pat pažeidžia jūsų saugumą ir privatumą. Jei turite juos įdiegę, perskaitydami norėsite juos pašalinti.
Skaitykite toliau
- Paaiškinta technologija
- „Android“
- Saugumas
- Išmaniųjų telefonų sauga
- Kenkėjiška programa
Shannon yra turinio kūrėjas, įsikūręs Philly, PA. Technikos srityje ji rašė apie 5 metus, baigusi IT studijas. Shannon yra žurnalo „ReHack“ vykdomasis redaktorius ir aptaria tokias temas kaip kibernetinis saugumas, žaidimai ir verslo technologijos.
Užsiprenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Dar vienas žingsnis…!
Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.
