Image
26.10.2012 0 Comments

Milióny stiahnutých androidových aplikácií chybne implementujú SSL

androidphones.jpg Množstvo aplikácií pre mobilný operačný systém Android prináša vážne bezpečnostné riziká aj napriek tomu, že aplikácia nie je malvér. Dokázali to vedci z Leibnizovej univerzity v Hannoveri a Philippsovej univerzity v Marburgu, ktorí svoje zistenia prezentovali pred pár dňami na konferencii Computer and Communications Security.

Počas testov dôkladne preskúmali 41 androidových aplikácií z Google Play, ktoré boli stiahnuté dovedna v rozmedzí 39,5 - 185 miliónov krát. Výskumníci každú aplikáciu testovali na lokálnej sieti proti rôznym druhom útokov proti technológiám SSL/TLS, ktoré by mali zaistiť bezpečný prenos citlivých údajov medzi klientom a serverom.

„Podarilo sa nám získať bankové informácie, prihlasovacie údaje do účtu PayPal, American Express a iné," uvádza sa v správe. Rôznorodosť zraniteľných aplikácií dokazuje to, že sa im podarilo získať aj prihlasovacie údaje a iné prenášané informácie z účtov Facebooku, e-mailových či cloudových služieb, ako aj prístup k IP kamerám.

Ku konečnému počtu zraniteľných aplikácií (41) sa dospelo stiahnutím 13 500 programov zo serverov Google Play a otestovaním spôsobu ich implementácie technológie SSL. Vedcov zaujímalo, ako si budú počínať pri útokoch typu MITM (man-in-the-middle). Po statickej analýze zistili, že až 8 % (1074) aplikácií malo technológiu SSL implementovanú tak, že akceptovala buď všetky certifikáty, alebo akéhokoľvek hostiteľa (hostname) pre certifikát, čo z nich činí potenciálny cieľ na útok typu MITM. Nakoniec z nich vybrali sto, aby ich otestovali na reálnej sieti s SSL proxy.

Výsledky sú zaujímavé, keďže niektoré aplikácie akceptovali certifikáty SSL podpísané samotnými výskumníkmi, iné zas povolili akejkoľvek doméne prístup či akceptovali certifikáty po dátume platnosti. Výskumníkom sa podarili aj útoky typu SSLstrip, pri ktorých dôjde k nahradeniu protokolu SSL vlastnou nešifrovanou verziou. Konkrétne názvy zraniteľných aplikácií výskumníci nemenovali, ale opísali napríklad antivírus, ktorý umožnil stiahnutie falošnej antivírusovej aktualizácie signatúr.

Autori štúdie odporúčajú vývojárom aplikácií na zvýšenie bezpečnosti tzv. certificate pinning. Brániť sa proti podobným útokom môže používateľ najmä tým, že bude využívať len overené a šifrované siete Wi-Fi.

Zdroj: dcsec.uni-hannover.de
techradar.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Huawei predstavil vlajkové smartfóny P40 a ďalšie zaujímavé novinky

26.03.2020 17:00

Spoločnosť Huawei prostredníctvom video prenosu predstavila nové vlajkové smartfóny radu P40. Do produktovej rodiny patria tri modely: P40, P40 Pro a P40 Pro +. Novinky sú nabité špičkovými technológi ...

Produkty

Inovácie pre digitálnu kanceláriu zajtrajška

17.03.2020 00:06

Špeciálny projekt Pred 80 rokmi bola skonštruovaná prvá kopírka. Spôsobila revolúciu vo firmách. Umožnila totiž ľahko urobiť kópie dokumentov či neskôr ich skenovať. Dnes musia kancelárske zariadenia ...

Produkty

Novinky tlače a projekčnej techniky na Epson Days 2020

13.03.2020 00:00

Návštevníci podujatia v Prahe mohli nahliadnuť do kompletného prierezu aktuálneho portfólia a vypočuť si kľúčové vízie a stratégie pre nasledujúce mesiace. Z business tlače boli predstavené novinky z ...

Žiadne komentáre

Vyhľadávanie

ACER_032020

Najnovšie videá