一组研究人员发现，成千上万的Android移动应用程序包含后门和黑名单等隐藏行为。

随着智能手机已成为我们日常生活的一部分，数以百万计的应用程序被用于各种各样的活动，但其中许多活动的行为从未向其用户公开。

为了发现这种行为，俄亥俄州立大学，纽约大学和CISPA亥姆霍兹信息安全中心的研究人员提出了一种工具，该工具可以检测“用户输入验证的执行上下文以及验证所涉及的内容”。从而发现任何有趣的秘密。

然后，该工具名为INPUTSCOPE，已通过Google Play上的150,000多种Android应用程序（来自店面的前100,000种应用程序），替代市场（20,000种）进行了测试，并预先安装在设备上（30,000种应用程序从三星智能手机的固件中提取） 。

研究人员在其白皮书（PDF）中说：“我们发现，移动应用程序中的输入验证可用于暴露输入触发的机密（例如后门和黑名单机密），并且依赖于输入的隐藏功能在Android应用程序中非常普遍。”

该研究发现了12706个应用程序（8.47％）具有后门机密（秘密访问密钥，主密码和提供对仅管理员功能的访问权限的秘密命令），以及4028个应用程序（2.69％）包含黑名单机密（它们将基于受到审查，网络欺凌或歧视的关键字）。

INPUTSCOPE揭示了访问密钥，这些访问密钥可提供对应用程序管理界面的访问（允许普通用户无法使用的配置更改），允许恢复或重置普通用户密码或可用于购买应用内高级服务的访问键免费。

此外，研究还确定了数百个主密码以及数千个应用程序中的秘密命令，包括用于调试和触发普通用户未知功能的命令。

观察到的黑名单以中文，英文和韩文为目标内容，大小从10,000多个到列表中的7个不等。

研究人员还注意到，他们手动验证了发现，然后与应用程序开发人员联系以披露已验证的问题。但是，到目前为止，并不是所有的开发人员都解决了这些问题。

研究人员指出：“ INPUTSCOPE确定的隐藏功能可能对应用程序用户或开发人员造成严重后果，这些应用程序需要由应用程序开发人员修补。”