מדוע משתמשי Android צריכים לדאוג לטעינת קוד דינמי

כשאנשים משתמשים באפליקציות אנדרואיד, כל מה שקורה ברקע בדרך כלל לא עולה בראשם. למרבה הצער, אפשרות תכנות הנקראת טעינת קוד דינמי עלולה להוות סיכוני אבטחה. הנה מה שאתה צריך לדעת על זה.

מהו טעינת קוד דינמי?

בפיתוח אפליקציות, כל קוד המקור המשמש בבניית אפליקציה מהווה את בסיס הקוד. טעינת קוד דינמי מאפשרת לאפליקציה לשלוף תוכן מעבר לבסיס הקוד שלה ולבצע אותו במהלך הפעולה, או בזמן הריצה.

אפשרות זו עלולה לגרום לגודל אפליקציה קטן יותר מכיוון שנוהג נפוץ הוא לאחסן את הקוד מרחוק במקום להטמיע אותו ב- ערכת חבילות אנדרואיד (APK).

ה- APK הוא פורמט הקובץ בו משתמשת Android בעת הפצה והתקנה של אפליקציות. הוא מכיל את כל הרכיבים שאפליקציה יכולה לעבוד במכשיר תואם. טעינת קוד דינמי מביאה יתרונות מנקודת מבט של פיתוח, כולל כאלה המשפרים את שימושיות האפליקציה.

לדוגמה, אפליקציה עשויה להציג תוכן שונה לאדם, תלוי אם הוא משתמש בגרסת החינם או הפרימיום. טעינת קוד דינמי יכולה להציג את התוכן הנכון בהתבסס על שכבת המשתמש מבלי להגדיל את גודל ה- APK.

בנוסף, טעינת קוד דינמי מאפשרת למפתחים לשחרר גרסאות אפליקציות חדשות המכילות שינויים קלים. המשתמשים מקבלים את הגרסאות העדכניות ביותר מבלי להוריד דבר.

למרות יתרונות אלה, טעינת קוד דינמי יכולה להעלות סיכונים הקשורים לאבטחת אפליקציות אנדרואיד.

אפליקציות זדוניות לרוב מציגות טעינת קוד דינמי

מחברי מאמר מחקר משנת 2019 בחנו אפליקציות זדוניות של Android כדי למצוא את המשותף שלהן. הם ציטטו מחקרים קודמים שהושלמו על ידי גורמים אחרים שהראו טעינת קוד דינמי כתכונה עליונה של אפליקציות מסוכנות.

כמעט 20,000 מתוך 86,798 האפליקציות ב חקירה אחת היה טעינת קוד דינמי.

בירור נוסף הצביע על כך שאנשים מכניסים את פונקציונליות הליבה של אפליקציה מסוכנת לספריות עצמאיות, ואז משתמשים בטעינת קוד דינמי להפעלתה. גישה זו מגנה על התנהגות זדונית של האפליקציה, מה שהופך אותה לזיהוי פחות.

התיעוד של גוגל על סוגי התוכנות הזדוניות שהוא מגלה אף מבהיר כי שימוש לרעה בקוד דינמי עלול להיות מסומן כמגוון דלתות אחוריות. החברה מגדירה תוכנות זדוניות לדלת האחורית כמבצעת פעולות שעלולות להזיק לשליטה מרחוק במכשיר. לאחר מכן היא נתנה דוגמא לטעינת קוד דינמי המאפשר לאפליקציה לחלץ הודעות טקסט.

עם זאת, גוגל אומרת כי היא בוחנת האם ביצוע הקוד מבצע באופן מפורש התנהגות זדונית. אם לא, החברה מתייחסת לביצוע קוד שרירותי כפגיעות עבור תיקון של מפתח.

במקרים של אפליקציות מסוכנות, ביצוע קוד שרירותי מאפשר להאקר לבצע מרחוק פקודות במכשיר ממוקד.

חוקרים מזהים נושא טעינת קוד דינמי

גוגל נוקטת לעתים קרובות בפעולות מכריעות כדי להגביר את האבטחה למשתמשים. לדוגמה, קובצי Cookie של צד שלישי עוקבים אחר משתמשים, שומרים את המידע שלהם ובהמשך משתמשים בהם כדי להציג להם מודעות ממוקדות. עם זאת, החברה תעשה זאת חסום קובצי Cookie של צד שלישי בדפדפן Chrome עד שנת 2022. זה לא נתן תאריך ספציפי לשינוי.

התמקדות בביטחון לא הופכת את החברה לחופשית מבעיות. חוקרי אבטחת סייבר מצאו ביצוע קוד שרירותי מתמשך בתוך ה- אפליקציית גוגל ודיווח על כך לחברה. הבעיה תוקנה במאי 2021, אך היא גרמה ליותר אנשים לשים לב לבעיות אפשריות הקשורות לטעינת קוד דינמי.

החוקרים אישרו כי הפגיעות תאפשר לתוקף להפעיל אפליקציה רק ​​פעם אחת לפני שגנוב את נתוני גוגל של האדם. האקר יכול לנצל את הפגם באפליקציה של גוגל כדי לשלוף ספריית קוד מאפליקציה מסוכנת במכשיר של אדם.

משם, עבריין הסייבר יכול היה לגשת כמעט לכל נתוני Google של אדם, כולל הדוא"ל שלהם. הם יכולים אפילו להפעיל את המיקרופון, המצלמה ומידע בזמן אמת של המשתמש.

שים לב לאזהרות לגבי פגיעות מסוכנות באפליקציות

מכיוון שטעינת קוד דינמי מתרחשת בסוף הפיתוח, משתמש אפליקציה ממוצע אינו יכול לעשות דבר לוודא אם הצעה מסוימת עלולה להוות סכנות נסתרות הקשורות לאופן פעולתה ב רקע כללי. עם זאת, זה חכם לפקוח עין על כל אחד מהם אבטחת אפליקציית Android חדשות שמגיעות לכותרות הטכנולוגיות.

חוקרי אבטחת סייבר כל הזמן מחפשים נושאים שעלולים לסכן מאות אלפי משתמשי אפליקציות ואז מדווחים עליהם. הישארות מודעת לסכנות אפשריות באפליקציות תעזור למשתמשים להחליט אם ומתי לעדכן או למחוק יישום שעלול להיות בעייתי.

10 אפליקציות Android פופולריות שלא כדאי להתקין

יישומי Android אלה פופולריים ביותר, אך הם גם פוגעים בביטחון ובפרטיות שלך. אם התקנת אותם, תרצה להסיר אותם לאחר שתקרא את זה.

קרא הבא

על הסופר