Os investigadores desenvolveram uma ferramenta - INPUTSCORE - que lhes permitia inspecionar apps Android e descobrir quaisquer comportamentos anómalos através da deteção do contexto de execução do input do utilizador e a validação desse conteúdo. Segundo os mesmos, a validação do input nessas apps pode ser usada para expor "segredos" como backdoors e blacklists e que a funcionalidade invisível dependente de input é largamente difundida nas apps Android.

Descobriram, desta forma, que algumas dessas aplicações continuam chaves de acesso, palavras-passe "master", comandos secretos de funções só acessíveis a administradores, entre outros. As chaves de acesso podiam dar acesso a qualquer pessoa à interface de administração dessas aplicações, e alguns comandos podiam ativar funções ditas como "escondidas".

Apesar de os investigadores terem feito esta descoberta e terem reportado a mesma às equipas de desenvolvedores, não resolveram ainda o problema.

Estudo dos investigadores: https://web.cse.ohio-state.edu/~lin.3021/file/SP20.pdf

Mais informações: https://www.itsecuritynews.info/experts-uncovered-hidden-behavior-in-thousands-of-android-apps/