Słaba implementacja SSL w aplikacjach dla Androida
- Antoni Steliński,
- 23.10.2012, godz. 10:03
Niemieccy naukowcy wykazali, że setki popularnych aplikacji dla systemu Android mają wadliwie zaimplementowany protokół kluczowy dla poufności danych. Oznacza to, że są one podatne atak polegający np. na wykradaniu informacji.
Polecamy:
Naukowcy sprawdzili, czy taki atak jest faktycznie możliwy - podczas przeprowadzonych przez nich prób udało się przechwycić m.in. numery kart kredytowych, dane niezbędne do zalogowania się do konta bankowego, a także dane użytkownika i hasła serwisu PayPal.
Zobacz również:
- Użytkownicy Androida mogą się wkrótce zdziwić
- Projektowanie zorientowane na użytkownika - Polska powyżej europejskiej średniej
Pełnego raportu na ten temat na razie nie opublikowano - z udostępnionego już podsumowania dowiadujemy się jednak, że pod kątem wadliwej implementacji SSL sprawdzono 13,5 tys. najpopularniejszych darmowych aplikacji dla Androida. Okazało się, że aż 1074 z nich były podane na opisany powyżej atak. Do przeprowadzenia testu wykorzystano przygotowane w tym celu przez naukowców narzędzie o nazwie MalloDroid (sprawdzało ono system pod kątem podatności na któryś ze znanych publicznie exploitów na wadliwe implementacje SSL).
Na podstawie danych udostępnianych przez Google w serwisie Google Play oszacowano, że z podatnych na atak aplikacji może korzystać łącznie od 39,5 mln do nawet 185 mln użytkowników.
"Szczerze mówiąc, nie jest to szczególnie zaskakująca informacja - problemy z prawidłową implementacją SSL dotyczą wielu stron WWW, więc nic dziwnego, że występują również w aplikacjach mobilnych, tym bardziej, że jest to segment rozwijający się" - skomentował Jeremiah Grossman, założyciel i szef działu technicznego firmy WhiteHat Security.