Тысячи Android-приложений находятся под постоянным риском взлома

Тысячи Android-приложений находятся под постоянным риском взлома

Миллионы пользователей смартфонов уязвимы к атакам "человек посередине". Об этом говорится в исследовании, проведенном специалистами компании FireEye, передает SecurityLab.ru, информирует UBR.ua.

Эксперты проверили 10 тысяч наиболее популярных приложений для ОС Android и выяснили, что большая их часть содержит критические ошибки безопасности - в основном бреши в шифровании и обработке сертификатов. Более 60% из проверенных программ оказались подвержены этим уязвимостям.

В своем  блоге специалисты пишут, что экосистема ОС Android связана с коммуникациями, что делает ее привлекательной целью для взломщиков. Ошибки SSL, присутствующие в большинстве приложений для этой ОС, могут скомпрометировать все усилия разработчиков по поддержанию безопасности системы.

Исследователи проанализировали исходный код уязвимых приложений и нашли 3 основные ошибки в SSL: trust-менеджеры не проверяют подлинность сертификатов, приложения не проверяют подлинность сервера, к которому они соединяются, а при использовании движка Webkit ошибки SSL попросту игнорируются.

Одна из наиболее частых проблем – ошибка с trust-менеджерами: она присутствовала в 73% из 1000 самых популярных Android-приложений. Благодаря ей злоумышленник может совершить атаку "человек посередине" и получить доступ к персональным данным пользователей. Ошибки Webkit затронули 77% из 1000 наиболее популярных программ.

Рекламные сети становятся привлекательной добычей для хакеров, практикующих атаки "человек посередине". Получив контроль над ними, злоумышленники могут установить вредоносное ПО на смартфон жертвы либо перенаправлять запросы браузера на другой сайт. Исследователям удалось обнаружить, что две самые рекламируемые библиотеки (Flurry и Chartboost) в проверенном пакете приложений использовали уязвимые trust-менеджеры.

Как заявил консультант в области безопасности компании Neohapsis Патрик Томас (Patrick Thomas) изданию The Register, большинство ошибок в криптографии и SSL появляются вследствие беспечности программистов во время разработки приложений. Для удобства проведения альфа- и бета-тестов функции безопасности попросту отключают. Это опасная практика, поскольку разработчики забывают перед выпуском конечного продукта активировать функции безопасности. Это приводит к трагическим последствиям.





Интересные новости
Анонсирован "гуглофон" G1 от T-Mobile
Nokia N65 «в красном»Nokia N65 «в красном»
Тёмные музыкальные шкатулки: Nokia N70, N73 и N91Тёмные музыкальные шкатулки: Nokia N70, N73 и N91
Фото-дня: Sony Ericsson K800 или Nokia N82?Фото-дня: Sony Ericsson K800 или Nokia N82?
«МТС-Украина» вводит тариф «Супер МТС все сети»
Блок рекламы


Похожие новости
Американская компания продала ОАЭ софт для взлома iPhone наподобие Pegasus — теперь сделку расследует ФБР
"Киевстар" отличился "сервисом": за настройки мобильного с пенсионера взяли три тысячи гривен
Телефон основателя Amazon Безоса был взломан после сообщения от принца Саудовской Аравии – The Guardian
Google: 80% Android-приложений теперь шифруют весь трафик по умолчанию
Google выпустил пять Android-приложений для «цифрового здоровья»
Хакер нашёл способ взломать почти любой iPhone
Facebook подал в суд на двух разработчиков Android-приложений за кликфрод
Тысячи Android-приложений могут отслеживать местоположение, несмотря на запрет
В Windows 10 появится поддержка Android-приложений
Хакеры используют украденные прототипы iPhone для взлома iOS
Последние новости
Подгружаем последние новости