Множество приложения в Google Play са уязвими на MitM атаки

0
18


Скорошен анализ на 1000 от най-популярните приложения за Android, намиращи се в Google Play магазина, е показал, че много от тях са уязвими на MITM (man-in-the-middle) и сходни по тип атаки.

Данните са от изследване на отдела Mobile Security Team към компанията, предлагаща анализ и услуги в областта на инфозащитата FireEye, публикувано в блога на компанията. Оказва се, че въпросните приложения имат критично важна SSL/TLS уязвимост, която и позволява пресичането на обмена на данни. Специалистите от компанията са разгледали колко от приложенията комуникират със сървърите посредством обезопасени мрежови протоколи и дали тези, които го правят са имплементирали коректно SSL библиотеките за платформата на Android в тях.

Резултатите: от анализа на 1000 приложение се оказва, че 614 от тях използват за комуникационен протокол SSL/TLS, но 448 от тях или 73% от тези 614 приложения не проверяват достоверността на сертификатите, като 50 приложения (или 8%) използват свои собствени верификатори на хост-имената, които всъщност не осъществяват тази проверка, от 285-те, които ползват WebKit, 219 (77%) пренебрегват появяващите се SSL-грешки в него.

„Приложенията често използват външни библиотеки, за да може да подпомогнат функционирането на някои свои характеристики. Когато тези библиотеки имат вградени уязвимости, те стават особено опасни, тъй като те правят всички приложения, които ги използват, а също така често и самите устройства, уязвими. Нещо повече, тези уязвимости не са слаби страни на самите приложения, а на характеристиките, на които разчитат, за да функционират нормално“, се обяснява в публикацията.

Екипът е изготвил и примерни MITM атаки, с които да докажат своите открития, използвайки ги срещу няколко от тези популярни приложения и библиотеките, които ползват и са отбелязали проблем, както в самите приложения, така и в библиотеките. Някои от тези приложения са сваляни по няколко хиляди пъти.

FireEye поместват в публикацията си и съвети към разработчиците на приложенията, желаещи да спазват най-добрите практики по отношение на обезопасяването на своите продукти и потребителите им, а освен това са уведомили компаниите, доставили въпросните проблемни приложения. Някои от тях са се отзовали на запитването от страна на специалистите и са започнали работата по изправяне на проблемите, докато други въобще не са им обърнали внимание.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за