Image
26.10.2012 0 Comments

Milióny stiahnutých androidových aplikácií chybne implementujú SSL

androidphones.jpg Množstvo aplikácií pre mobilný operačný systém Android prináša vážne bezpečnostné riziká aj napriek tomu, že aplikácia nie je malvér. Dokázali to vedci z Leibnizovej univerzity v Hannoveri a Philippsovej univerzity v Marburgu, ktorí svoje zistenia prezentovali pred pár dňami na konferencii Computer and Communications Security.

Počas testov dôkladne preskúmali 41 androidových aplikácií z Google Play, ktoré boli stiahnuté dovedna v rozmedzí 39,5 - 185 miliónov krát. Výskumníci každú aplikáciu testovali na lokálnej sieti proti rôznym druhom útokov proti technológiám SSL/TLS, ktoré by mali zaistiť bezpečný prenos citlivých údajov medzi klientom a serverom.

„Podarilo sa nám získať bankové informácie, prihlasovacie údaje do účtu PayPal, American Express a iné," uvádza sa v správe. Rôznorodosť zraniteľných aplikácií dokazuje to, že sa im podarilo získať aj prihlasovacie údaje a iné prenášané informácie z účtov Facebooku, e-mailových či cloudových služieb, ako aj prístup k IP kamerám.

Ku konečnému počtu zraniteľných aplikácií (41) sa dospelo stiahnutím 13 500 programov zo serverov Google Play a otestovaním spôsobu ich implementácie technológie SSL. Vedcov zaujímalo, ako si budú počínať pri útokoch typu MITM (man-in-the-middle). Po statickej analýze zistili, že až 8 % (1074) aplikácií malo technológiu SSL implementovanú tak, že akceptovala buď všetky certifikáty, alebo akéhokoľvek hostiteľa (hostname) pre certifikát, čo z nich činí potenciálny cieľ na útok typu MITM. Nakoniec z nich vybrali sto, aby ich otestovali na reálnej sieti s SSL proxy.

Výsledky sú zaujímavé, keďže niektoré aplikácie akceptovali certifikáty SSL podpísané samotnými výskumníkmi, iné zas povolili akejkoľvek doméne prístup či akceptovali certifikáty po dátume platnosti. Výskumníkom sa podarili aj útoky typu SSLstrip, pri ktorých dôjde k nahradeniu protokolu SSL vlastnou nešifrovanou verziou. Konkrétne názvy zraniteľných aplikácií výskumníci nemenovali, ale opísali napríklad antivírus, ktorý umožnil stiahnutie falošnej antivírusovej aktualizácie signatúr.

Autori štúdie odporúčajú vývojárom aplikácií na zvýšenie bezpečnosti tzv. certificate pinning. Brániť sa proti podobným útokom môže používateľ najmä tým, že bude využívať len overené a šifrované siete Wi-Fi.

Zdroj: dcsec.uni-hannover.de
techradar.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Architektúra Ice Lake s podporou pre počítačové videnie a rozpoznávanie reči má dostať procesory Intelu do smartfónov

07.12.2016 00:19

Očakáva sa, že na konci roka 2018 Intel uvedie novú rodinu procesorov s kódovým označením Ice Lake. Bude to ďalšia významná architektúra od tohto výrobcu procesorov, nasledujúca po architektúre Skylak ...

Produkty

Video: Koľko prejde Tesla Model S s nulovým ukazovateľom nabitia batérie?

06.12.2016 00:20

Dánsky youtuber MrFirelakeDK uverejnil na svojom YouTube virálne video, v ktorom chcel ukázať, koľko jeho elektromobil Tesla Model S 85D dokáže prejsť od chvíle, keď sa na prístrojovej doske zobrazí v ...

Produkty 1

HP vyrobilo pre študentov najtenší konvertibilný notebook na svete, ktorý zvládne aj pád z lavice

06.12.2016 00:12

Novinka v portfóliu HP reaguje na zmeny, ku ktorým v školských triedach v súčasnosti dochádza. Čoraz častejšie sa upúšťa od tradičných metód výučby, ktoré sú založené na prednáškach. Naopak, väčšia po ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá