Image
26.10.2012 0 Comments

Milióny stiahnutých androidových aplikácií chybne implementujú SSL

androidphones.jpg Množstvo aplikácií pre mobilný operačný systém Android prináša vážne bezpečnostné riziká aj napriek tomu, že aplikácia nie je malvér. Dokázali to vedci z Leibnizovej univerzity v Hannoveri a Philippsovej univerzity v Marburgu, ktorí svoje zistenia prezentovali pred pár dňami na konferencii Computer and Communications Security.

Počas testov dôkladne preskúmali 41 androidových aplikácií z Google Play, ktoré boli stiahnuté dovedna v rozmedzí 39,5 - 185 miliónov krát. Výskumníci každú aplikáciu testovali na lokálnej sieti proti rôznym druhom útokov proti technológiám SSL/TLS, ktoré by mali zaistiť bezpečný prenos citlivých údajov medzi klientom a serverom.

„Podarilo sa nám získať bankové informácie, prihlasovacie údaje do účtu PayPal, American Express a iné," uvádza sa v správe. Rôznorodosť zraniteľných aplikácií dokazuje to, že sa im podarilo získať aj prihlasovacie údaje a iné prenášané informácie z účtov Facebooku, e-mailových či cloudových služieb, ako aj prístup k IP kamerám.

Ku konečnému počtu zraniteľných aplikácií (41) sa dospelo stiahnutím 13 500 programov zo serverov Google Play a otestovaním spôsobu ich implementácie technológie SSL. Vedcov zaujímalo, ako si budú počínať pri útokoch typu MITM (man-in-the-middle). Po statickej analýze zistili, že až 8 % (1074) aplikácií malo technológiu SSL implementovanú tak, že akceptovala buď všetky certifikáty, alebo akéhokoľvek hostiteľa (hostname) pre certifikát, čo z nich činí potenciálny cieľ na útok typu MITM. Nakoniec z nich vybrali sto, aby ich otestovali na reálnej sieti s SSL proxy.

Výsledky sú zaujímavé, keďže niektoré aplikácie akceptovali certifikáty SSL podpísané samotnými výskumníkmi, iné zas povolili akejkoľvek doméne prístup či akceptovali certifikáty po dátume platnosti. Výskumníkom sa podarili aj útoky typu SSLstrip, pri ktorých dôjde k nahradeniu protokolu SSL vlastnou nešifrovanou verziou. Konkrétne názvy zraniteľných aplikácií výskumníci nemenovali, ale opísali napríklad antivírus, ktorý umožnil stiahnutie falošnej antivírusovej aktualizácie signatúr.

Autori štúdie odporúčajú vývojárom aplikácií na zvýšenie bezpečnosti tzv. certificate pinning. Brániť sa proti podobným útokom môže používateľ najmä tým, že bude využívať len overené a šifrované siete Wi-Fi.

Zdroj: dcsec.uni-hannover.de
techradar.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Dohady: Samsung prinesie prvý skladateľný smartfón v druhej polovici tohto roka

17.01.2017 00:28

Podľa zvestí z Číny má Samsung oficiálne predstaviť svoj prvý skladací smartfón v treťom či štvrtom štvrťroku tohto roka, no presný termín ešte nebol odhalený. Správa pochádza z príspevku na webe Weib ...

Produkty

Opera predstavila Neon. Bude takto vyzerať budúcnosť prehliadania webu?

17.01.2017 00:25

Spoločnosť Opera Software ukázala novú koncepciu svojho webového prehliadač a názvom Opera Neon. Podľa vývojárov vraj ponúka „pohľad do budúcnosti desktopových prehliadačov“. Základom je takisto Chro ...

Produkty

Google používa strojové učenie na zníženie dátovej spotreby pri obrázkoch s vysokým rozlíšením

17.01.2017 00:22

Vlani v novembri Google predstavil technológiu RAISR (Rapid and Accurate Image Super-Resolution). Ide o metódu interpolácie, ktorá má zlepšiť zobrazenie fotiek s nízkym rozlíšením a ušetriť dátové pre ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá