Darmowe aplikacje w Google Play są niebezpieczne?

Cezary Zapała Aplikacje 2012-10-23

Tak przynajmniej sądzą specjaliści ds. bezpieczeństwa z dwóch niemieckich uniwersytetów (Leibniz University of Hannover i Philipps University of Marburg), którzy przeprowadzili ciekawe badania. Naukowcy sprawdzili 13,5 tysiąca darmowych aplikacji dostępnych w Google Play skupiając się w szczególności na najpopularniejszych. Okazało się, że 8% z nich nieprawidłowo przesyłało dane przez co można je było w wyjątkowo prosty sposób przechwycić. Dodatkowo poddatne były one na exploity wykorzystujące mechanizm MITM (atak, w którym inna osoba „podsłuchuje transmisję”). Ponadto niektóre aplikacje mimo zaimplementowania technologii SSL czy TSL przyjmowały każdy podsunięty certyfikat (nawet spreparowany lub nieaktualny).

Jak twierdzą naukowcy niektóre z tych aplikacji pobrano nawet kilkadziesiąt milionów razy. Problem głównie mają produkty firm trzecich, a w szczególności multikomunikatory i nieoficjalne klienckie aplikacje dla portali społecznościowych. Pełny raport dostępny jest w PDF w języku angielskim. Specjaliści na koniec radzą, że problem można rozwiązać poprzez wymuszanie sprawdzania certyfikatów lub stworzenie mobilnej wersji inicjatywy HTTPS Everywhere. Można też dojść do wniosku, że nie do końca Android jest winny temu, a raczej deweloperzy, którzy nie dbają o bezpieczeństwo swoich użytkowników.

Źródło: www2.dcsec.uni-hannover.de


Media Machine. Wolny czas, którego niestety mam coraz mniej poświęcam na zgłębianie informacji z takich dziedzin jak prawo, webmastering, trendy w Sieci, marketing oraz inwestycje budowlane.



x