Tường nhà
Bài viết
Kết bạn
Ngăn cấmSửa Máy Tính Văn Phòng [You must be registered and logged in to see this link.]
ác nhà nghiên cứu của MIT đã phát hiện ra rằng phần lớn dữ liệu được chuyển đến và từ 500 ứng dụng miễn phí phổ biến nhất cho điện thoại di động của Google Android có ít hoặc không có gì khác biệt với trải nghiệm của người dùng.
Trong số những thông tin "bí mật" này, khoảng một nửa xuất hiện với các gói phân tích Android chuẩn, báo cáo thống kê về mô hình sử dụng và hiệu suất của chương trình và nhằm giúp các nhà phát triển cải tiến ứng dụng.
Julia Rubin, một nghiên cứu sinh thuộc phòng thí nghiệm Khoa học Máy tính và Phòng thí nghiệm Trí tuệ Nhân tạo của MIT (CSAIL), người đứng đầu cuộc nghiên cứu mới cho biết: "Phần thú vị là 50 phần trăm khác không thể được phân cho các phân tích. "Có thể có một lý do rất tốt cho việc truyền thông bí mật này. Chúng tôi không cố gắng nói rằng nó phải được loại bỏ. Chúng tôi chỉ nói rằng người dùng cần phải được thông báo. "
Các nhà nghiên cứu đã báo cáo những phát hiện của họ vào tuần trước tại Hội nghị Quốc tế IEEE / ACM về Kỹ thuật Phần mềm Tự động. Tham gia Rubin trên giấy là Martin Rinard, giáo sư về khoa học máy tính và kỹ thuật tại MIT; Michael Gordon, người đã nhận bằng tiến sĩ về kỹ thuật điện và tin học vào năm 2010 và ở lại CSAIL như một nhà nghiên cứu cho đến tháng 7 năm ngoái; và Nguyễn Nguyên của công ty kỹ thuật UWin Software.
Sửa Máy Tính Tại Cầu Giấy [You must be registered and logged in to see this link.]
Các hoạt động khác nhau được thực hiện bởi cùng một ứng dụng trên điện thoại di động có thể yêu cầu truyền thông bên ngoài và thay vì cố điều phối việc chia sẻ quyền truy cập vào một kênh truyền thông đơn lẻ, ứng dụng thường sẽ mở ra một kênh truyền thông riêng cho mỗi hoạt động.
Các nhà nghiên cứu đã phân tích số kênh truyền thông được mở ra bởi 500 ứng dụng di động phổ biến nhất và thấy rằng khoảng 50 phần trăm trong số chúng dường như không có gì ảnh hưởng đến trải nghiệm người dùng. Điều đó không nhất thiết phải dịch trực tiếp vào số lượng dữ liệu được trao đổi qua các kênh đó, nhưng đối với các phiên sử dụng ngắn, phần dữ liệu được truyền không liên quan đến trải nghiệm người dùng cũng nhiều như 50 phần trăm.
Qua các phiên làm việc dài hơn, trong đó các tệp lớn được chuyển sang điện thoại - ví dụ như dịch vụ nghe nhạc hoặc video - tỷ lệ phần trăm dữ liệu truyền đi một cách chắc chắn sẽ giảm đi. Nhưng các kênh truyền thông bí mật vẫn mở.
Xỏ lỗ mạng
Các ứng dụng di động thường là độc quyền: Mã nguồn của họ không có sẵn công khai, và các nhà phát triển của họ thường xuyên phải chịu đựng để che giấu chi tiết về việc thực hiện các chương trình, một kỹ thuật được gọi là obfuscation.
Nhưng tất cả các chương trình được viết cho hệ điều hành Android đều phải sử dụng một bộ quy trình chuẩn khi tương tác với phần cứng của điện thoại. Vì vậy, có thể xác định phần nào của ứng dụng Android kiểm soát những gì được hiển thị trên màn hình hoặc nối qua loa và phần nào mở ra các kênh truyền thông.
Bằng cách lập bản đồ tất cả các cách có thể mà dữ liệu có thể chảy qua một ứng dụng, các công cụ phân tích của các nhà nghiên cứu có thể xác định liệu một lệnh nhất định để mở một kênh truyền thông sẽ dẫn đến một tín hiệu kiểm soát đi đến màn hình hoặc loa và liệu nó sẽ không.
Để kiểm chứng kỹ thuật phân tích của họ, các nhà nghiên cứu đã tạo ra các phiên bản sửa đổi của 47 trong số 100 ứng dụng hàng đầu của Android, trong đó các kênh truyền thông mà các công cụ của họ được xác định là bí mật đã bị vô hiệu hóa. Sau đó, họ tiến hành một loạt các nghiên cứu khả năng sử dụng, trong đó các cặp đối tượng so sánh hiệu suất của các phiên bản sửa đổi và không thay đổi của chương trình.
Trong 30 trong số 47 ứng dụng, các đối tượng có thể phát hiện ra không có sự khác biệt giữa hai phiên bản. Trong chín trường hợp, quảng cáo đã bị thiếu nhưng chương trình thực hiện không bị ảnh hưởng. Và trong ba trường hợp, các đối tượng mô tả sự khác biệt là "nhỏ". Ví dụ: một ứng dụng đèn pin miễn phí phổ biến cung cấp cho người dùng tùy chọn mua nâng cấp chức năng và trên màn hình mua bán nâng cấp, một biểu tượng đã bị thiếu.
Năm trong số các ứng dụng ngừng hoạt động hoàn toàn. Nhưng trong ít nhất một trong những trường hợp đó, vấn đề là với sự bảo vệ mà nhà phát triển đã đưa ra để ngăn chặn việc bán lại phần mềm độc quyền của nó. Những lý do cho sự thất bại của bốn người còn lại không rõ ràng.
Ai đang nghe?
Các nhà nghiên cứu cũng phân tích dữ liệu lưu lượng truy cập từ một vài ứng dụng phổ biến hơn, lượm lặt một số cái nhìn sâu sắc về các mục đích có thể của truyền thông bí mật của họ. Chẳng hạn, một ứng dụng của Wal-Mart cho phép người dùng quét mã vạch của sản phẩm trên các kệ hàng của cửa hàng Wal-Mart và lấy giá của chúng. Nhưng mỗi khi nó làm điều đó, nó cũng sẽ gửi thông tin đến một máy chủ có vẻ như được kết hợp với eBay. Vô hiệu hóa kết nối đó không có ảnh hưởng đến hành vi của ứng dụng.
Thật thú vị, Candy Crush Saga, một trò chơi bị báo cáo một vài năm trước vì vi phạm quyền riêng tư, là một trong số rất ít ứng dụng dường như không liên quan đến giao tiếp bí mật. "Họ đã trở thành người mẫu", Rubin nói.
Các công cụ phân tích mà các nhà nghiên cứu sử dụng dựa trên một dự án trước đó của nhóm Rinard, mà Gordon đã lãnh đạo. Cơ quan dự án nghiên cứu tiên tiến của Hoa Kỳ đã tài trợ cho các nhóm nghiên cứu tại 9 trường đại học trong một cuộc thi kéo dài bốn năm để phát triển các kỹ thuật để xác định phần mềm độc hại hoặc phần mềm độc hại trong các ứng dụng di động được phát triển cho Bộ Quốc phòng bởi các nhà thầu bên ngoài. Bộ Quốc phòng đã thông qua hệ thống của nhóm MIT, cung cấp cơ sở cho việc phân tích mới.
Omer Tripp, nhà lãnh đạo kỹ thuật về bảo mật di động và sự riêng tư tại Trung tâm Nghiên cứu TJ Watson của IBM, nói: "Tôi nghĩ đó là một công việc tuyệt vời. "Ở đâu có sự ngạc nhiên và hứa hẹn - thực tế là bạn không thể địa phương hoá tất cả những kênh bí mật này để quảng cáo và phân tích, đó là điều mà người ta kỳ vọng một cách trực giác".
Tripp phỏng đoán rằng một số thông tin bí mật có thể là dự báo trước, nhằm ngăn chặn sự gián đoạn trong kết nối Internet. "Bạn có thể tưởng tượng rằng thể muốn trở nên linh hoạt hơn và tiếp tục hoạt động mà không báo cáo sự cố", ông nói. "Khi bạn nghĩ về nó, đó là một cơ hội thú vị để tối ưu hóa. Có lẽ một số người dùng nói, "Nếu ứng dụng sẵn sàng hoạt động mà không có kết nối Internet, và tôi có một kế hoạch dữ liệu hạn chế, hoặc tôi ở nước ngoài và không muốn sử dụng Internet, tôi muốn biết rằng nó vẫn biết làm thế nào làm việc đó đi.' Nghiên cứu sắp xếp cho chúng ta hy vọng rằng trong nhiều trường hợp loại tối ưu hóa này có thể áp dụng được. "
Tripp cũng chỉ ra một tập gần đây mà các hacker độc hại đã sửa đổi các công cụ phân phối công khai được thiết kế cho các nhà phát triển ứng dụng iPhone để họ chèn mã độc vào bất kỳ ứng dụng nào họ đã sử dụng để tạo ra. Ngay cả những nhà phát triển có thiện chí nhất cũng có thể là đảng của vi phạm an ninh hoặc riêng tư. Ông nói: "Đây là những t
Sửa Máy In Tại Nhà Hà Nội [You must be registered and logged in to see this link.]
rường hợp sử dụng đáng quan tâm mà chúng tôi quan tâm tại IBM.
ác nhà nghiên cứu của MIT đã phát hiện ra rằng phần lớn dữ liệu được chuyển đến và từ 500 ứng dụng miễn phí phổ biến nhất cho điện thoại di động của Google Android có ít hoặc không có gì khác biệt với trải nghiệm của người dùng.
Trong số những thông tin "bí mật" này, khoảng một nửa xuất hiện với các gói phân tích Android chuẩn, báo cáo thống kê về mô hình sử dụng và hiệu suất của chương trình và nhằm giúp các nhà phát triển cải tiến ứng dụng.
Julia Rubin, một nghiên cứu sinh thuộc phòng thí nghiệm Khoa học Máy tính và Phòng thí nghiệm Trí tuệ Nhân tạo của MIT (CSAIL), người đứng đầu cuộc nghiên cứu mới cho biết: "Phần thú vị là 50 phần trăm khác không thể được phân cho các phân tích. "Có thể có một lý do rất tốt cho việc truyền thông bí mật này. Chúng tôi không cố gắng nói rằng nó phải được loại bỏ. Chúng tôi chỉ nói rằng người dùng cần phải được thông báo. "
Các nhà nghiên cứu đã báo cáo những phát hiện của họ vào tuần trước tại Hội nghị Quốc tế IEEE / ACM về Kỹ thuật Phần mềm Tự động. Tham gia Rubin trên giấy là Martin Rinard, giáo sư về khoa học máy tính và kỹ thuật tại MIT; Michael Gordon, người đã nhận bằng tiến sĩ về kỹ thuật điện và tin học vào năm 2010 và ở lại CSAIL như một nhà nghiên cứu cho đến tháng 7 năm ngoái; và Nguyễn Nguyên của công ty kỹ thuật UWin Software.
Sửa Máy Tính Tại Cầu Giấy [You must be registered and logged in to see this link.]
Các hoạt động khác nhau được thực hiện bởi cùng một ứng dụng trên điện thoại di động có thể yêu cầu truyền thông bên ngoài và thay vì cố điều phối việc chia sẻ quyền truy cập vào một kênh truyền thông đơn lẻ, ứng dụng thường sẽ mở ra một kênh truyền thông riêng cho mỗi hoạt động.
Các nhà nghiên cứu đã phân tích số kênh truyền thông được mở ra bởi 500 ứng dụng di động phổ biến nhất và thấy rằng khoảng 50 phần trăm trong số chúng dường như không có gì ảnh hưởng đến trải nghiệm người dùng. Điều đó không nhất thiết phải dịch trực tiếp vào số lượng dữ liệu được trao đổi qua các kênh đó, nhưng đối với các phiên sử dụng ngắn, phần dữ liệu được truyền không liên quan đến trải nghiệm người dùng cũng nhiều như 50 phần trăm.
Qua các phiên làm việc dài hơn, trong đó các tệp lớn được chuyển sang điện thoại - ví dụ như dịch vụ nghe nhạc hoặc video - tỷ lệ phần trăm dữ liệu truyền đi một cách chắc chắn sẽ giảm đi. Nhưng các kênh truyền thông bí mật vẫn mở.
Xỏ lỗ mạng
Các ứng dụng di động thường là độc quyền: Mã nguồn của họ không có sẵn công khai, và các nhà phát triển của họ thường xuyên phải chịu đựng để che giấu chi tiết về việc thực hiện các chương trình, một kỹ thuật được gọi là obfuscation.
Nhưng tất cả các chương trình được viết cho hệ điều hành Android đều phải sử dụng một bộ quy trình chuẩn khi tương tác với phần cứng của điện thoại. Vì vậy, có thể xác định phần nào của ứng dụng Android kiểm soát những gì được hiển thị trên màn hình hoặc nối qua loa và phần nào mở ra các kênh truyền thông.
Bằng cách lập bản đồ tất cả các cách có thể mà dữ liệu có thể chảy qua một ứng dụng, các công cụ phân tích của các nhà nghiên cứu có thể xác định liệu một lệnh nhất định để mở một kênh truyền thông sẽ dẫn đến một tín hiệu kiểm soát đi đến màn hình hoặc loa và liệu nó sẽ không.
Để kiểm chứng kỹ thuật phân tích của họ, các nhà nghiên cứu đã tạo ra các phiên bản sửa đổi của 47 trong số 100 ứng dụng hàng đầu của Android, trong đó các kênh truyền thông mà các công cụ của họ được xác định là bí mật đã bị vô hiệu hóa. Sau đó, họ tiến hành một loạt các nghiên cứu khả năng sử dụng, trong đó các cặp đối tượng so sánh hiệu suất của các phiên bản sửa đổi và không thay đổi của chương trình.
Trong 30 trong số 47 ứng dụng, các đối tượng có thể phát hiện ra không có sự khác biệt giữa hai phiên bản. Trong chín trường hợp, quảng cáo đã bị thiếu nhưng chương trình thực hiện không bị ảnh hưởng. Và trong ba trường hợp, các đối tượng mô tả sự khác biệt là "nhỏ". Ví dụ: một ứng dụng đèn pin miễn phí phổ biến cung cấp cho người dùng tùy chọn mua nâng cấp chức năng và trên màn hình mua bán nâng cấp, một biểu tượng đã bị thiếu.
Năm trong số các ứng dụng ngừng hoạt động hoàn toàn. Nhưng trong ít nhất một trong những trường hợp đó, vấn đề là với sự bảo vệ mà nhà phát triển đã đưa ra để ngăn chặn việc bán lại phần mềm độc quyền của nó. Những lý do cho sự thất bại của bốn người còn lại không rõ ràng.
Ai đang nghe?
Các nhà nghiên cứu cũng phân tích dữ liệu lưu lượng truy cập từ một vài ứng dụng phổ biến hơn, lượm lặt một số cái nhìn sâu sắc về các mục đích có thể của truyền thông bí mật của họ. Chẳng hạn, một ứng dụng của Wal-Mart cho phép người dùng quét mã vạch của sản phẩm trên các kệ hàng của cửa hàng Wal-Mart và lấy giá của chúng. Nhưng mỗi khi nó làm điều đó, nó cũng sẽ gửi thông tin đến một máy chủ có vẻ như được kết hợp với eBay. Vô hiệu hóa kết nối đó không có ảnh hưởng đến hành vi của ứng dụng.
Thật thú vị, Candy Crush Saga, một trò chơi bị báo cáo một vài năm trước vì vi phạm quyền riêng tư, là một trong số rất ít ứng dụng dường như không liên quan đến giao tiếp bí mật. "Họ đã trở thành người mẫu", Rubin nói.
Các công cụ phân tích mà các nhà nghiên cứu sử dụng dựa trên một dự án trước đó của nhóm Rinard, mà Gordon đã lãnh đạo. Cơ quan dự án nghiên cứu tiên tiến của Hoa Kỳ đã tài trợ cho các nhóm nghiên cứu tại 9 trường đại học trong một cuộc thi kéo dài bốn năm để phát triển các kỹ thuật để xác định phần mềm độc hại hoặc phần mềm độc hại trong các ứng dụng di động được phát triển cho Bộ Quốc phòng bởi các nhà thầu bên ngoài. Bộ Quốc phòng đã thông qua hệ thống của nhóm MIT, cung cấp cơ sở cho việc phân tích mới.
Omer Tripp, nhà lãnh đạo kỹ thuật về bảo mật di động và sự riêng tư tại Trung tâm Nghiên cứu TJ Watson của IBM, nói: "Tôi nghĩ đó là một công việc tuyệt vời. "Ở đâu có sự ngạc nhiên và hứa hẹn - thực tế là bạn không thể địa phương hoá tất cả những kênh bí mật này để quảng cáo và phân tích, đó là điều mà người ta kỳ vọng một cách trực giác".
Tripp phỏng đoán rằng một số thông tin bí mật có thể là dự báo trước, nhằm ngăn chặn sự gián đoạn trong kết nối Internet. "Bạn có thể tưởng tượng rằng thể muốn trở nên linh hoạt hơn và tiếp tục hoạt động mà không báo cáo sự cố", ông nói. "Khi bạn nghĩ về nó, đó là một cơ hội thú vị để tối ưu hóa. Có lẽ một số người dùng nói, "Nếu ứng dụng sẵn sàng hoạt động mà không có kết nối Internet, và tôi có một kế hoạch dữ liệu hạn chế, hoặc tôi ở nước ngoài và không muốn sử dụng Internet, tôi muốn biết rằng nó vẫn biết làm thế nào làm việc đó đi.' Nghiên cứu sắp xếp cho chúng ta hy vọng rằng trong nhiều trường hợp loại tối ưu hóa này có thể áp dụng được. "
Tripp cũng chỉ ra một tập gần đây mà các hacker độc hại đã sửa đổi các công cụ phân phối công khai được thiết kế cho các nhà phát triển ứng dụng iPhone để họ chèn mã độc vào bất kỳ ứng dụng nào họ đã sử dụng để tạo ra. Ngay cả những nhà phát triển có thiện chí nhất cũng có thể là đảng của vi phạm an ninh hoặc riêng tư. Ông nói: "Đây là những t
Sửa Máy In Tại Nhà Hà Nội [You must be registered and logged in to see this link.]
rường hợp sử dụng đáng quan tâm mà chúng tôi quan tâm tại IBM.