seoded (seoded) wrote,
seoded
seoded

1000 приложений для Андроид имеет уязвимости

Очень любопытная новость:

Миллионы пользователей Android могли стать жертвами интернет-мошенников. К такому выводу пришли немецкие исследователи из университета Лейбница в Ганновере и университета Филиппа в Марбурге.

Ученые провели статистический анализ 13 500 бесплатных приложений из магазина Google Play. Оказалось, что порядка тысячи — или 8% — из выборки имеют уязвимости в криптографических протоколах SSL и TLS, которые обеспечивают конфиденциальность обмена данными между клиентом и сервером. Все пользователи этих приложений являются потенциальными жертвами так называемых man-in-the-middle атак, когда злоумышленники могут использовать плохо защищенный протокол передачи данных в своих интересах, перехватывая и видоизменяя информацию.

Из упомянутых приложений 100 были подвергнуты еще более глубокому анализу. Исследователи обнаружили, что часть программ принимает недостоверные сертификаты безопасности за подлинные, а в некоторых случаях данные в защищенных соединениях можно перехватить при помощи специальной программы. В случае с более чем 40 приложениями хакерам не составит труда получить личные данные тех, кто установил такие программы на свои устройства.

Речь идет о банковской информации, данных по транзакциям PayPal, паролях от электронной почты, Facebook и облачных хранилищ. Помимо этого уязвимости протокола позволили получить доступ к личной переписке пользователей по электронной почте и через сервисы мгновенного обмена сообщениями, а также номерам телефонов из списков контактов юзеров.

В докладе, представленном немецкими исследователями, конкретные приложения не назывались, однако по статистике Google их загрузили до 185 миллионов раз. В их числе — приложение для доступа к облачному сервису хранения данных – от 1 до 5 миллионов загрузок; клиент к популярной социальной сети – миллион скачиваний; кросс-платформенный сервис для обмена сообщениями – от 10 до 50 миллионов загрузок, и даже антивирус.

По всей видимости, речь идет не о родных приложениях, а о программном обеспечении, разработанном сторонними девелоперами. Уязвимости работали на аппаратах под управлением предыдущей версии Android – Ice Cream Sandwich.

Выводы исследователей – не иллюзорный повод для тревоги. Практически 100% защищенных соединений между сайтами и аппаратами конечных пользователей шифруется при помощи протоколов SSL и TLS. И если они ненадежны, передача любых личных данных в сети представляет большую опасность. Причем виноваты в этом как разработчики приложений, так и производители мобильных устройств.

Источник — Вести.ру


Любопытна она не тем, что нашли уязвимые приложения для мобильных устройств. А тем, кто нашёл.

Учёные из немецких университетов.

Обычно о таких находках сообщают либо хакеры, либо специалисты по безопасности, либо разработчики приложений. Но не учёные.

Тут два варианта.


  • Либо учёные полезли в сферу безопасности мобильных приложений от того, что им заняться нечем;

  • Либо проблема уже настолько значительна, что ей всерьёз занялись в университетах.



Можно допустить ещё третий вариант, что это не учёные вовсе. Но тогда, что они делают в университете?

Сами же уязвимости в мобильных приложениях ни новостью, ни сенсационным открытием не являются. Ошибки всегда есть в любой программе.

Их нахождение зависит только от популярности программы. Или от значимости данных, с которыми программа работает.

Поэтому уязвимости в Виндоус находят с регулярной частотой. Просто она суперпопулярна. И число исследователей её внутренностей очень велико.

Мобильные же приложения распространяются с огромной скоростью. Число их пользователей растёт сумасшедшими темпами. Значит, будет расти и число найденных уязвимостей в них.

Потому что ненайденных в них всегда хватало.
Tags: безопасность, гаджеты, программы
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments