Chodzi tu o protokół SSL (secure socket layer) wykorzystywany do przesyłania danych pomiędzy aplikacjami a systemową przeglądarką internetową. Okazuje się, że powszechnym problemem twórców aplikacji dla Androida jest błędne implementowanie owego protokołu - w testach przeprowadzonych przez Leibniz University in Hanover oraz Philipps University of Hamburg wykazano, że ok. 8% wszystkich przeanalizowanych aplikacji było podatnych na atak man-in-the-middle, który mógłby zostać wykorzystany do przechwycenia danych przekazywanych pomiędzy aplikacją a przeglądarką.

Naukowcy sprawdzili, czy taki atak jest faktycznie możliwy - podczas przeprowadzonych przez nich prób udało się przechwycić m.in. numery kart kredytowych, dane niezbędne do zalogowania się do konta bankowego, a także dane użytkownika i hasła serwisu PayPal.

Zobacz również:

• Użytkownicy Androida mogą się wkrótce zdziwić
• Projektowanie zorientowane na użytkownika - Polska powyżej europejskiej średniej

Pełnego raportu na ten temat na razie nie opublikowano - z udostępnionego już podsumowania dowiadujemy się jednak, że pod kątem wadliwej implementacji SSL sprawdzono 13,5 tys. najpopularniejszych darmowych aplikacji dla Androida. Okazało się, że aż 1074 z nich były podane na opisany powyżej atak. Do przeprowadzenia testu wykorzystano przygotowane w tym celu przez naukowców narzędzie o nazwie MalloDroid (sprawdzało ono system pod kątem podatności na któryś ze znanych publicznie exploitów na wadliwe implementacje SSL).

Na podstawie danych udostępnianych przez Google w serwisie Google Play oszacowano, że z podatnych na atak aplikacji może korzystać łącznie od 39,5 mln do nawet 185 mln użytkowników.

"Szczerze mówiąc, nie jest to szczególnie zaskakująca informacja - problemy z prawidłową implementacją SSL dotyczą wielu stron WWW, więc nic dziwnego, że występują również w aplikacjach mobilnych, tym bardziej, że jest to segment rozwijający się" - skomentował Jeremiah Grossman, założyciel i szef działu technicznego firmy WhiteHat Security.