8% приложений для Android не защищают данные пользователей

Android Совместная группа специалистов выявила 41 небезопасное приложение в Google Play Market, которые в общей сложности скачали более 181 млн раз. Немецкие исследователи говорят, что при помощи указанных приложений можно получать данные к реквизитам PayPal, American Express и другим платежным сведениям.

В отчете говорится, что это становится возможным из-за небезопасных механизмов в протоколах SSL и TLS, которые лежат в основе защиты данных всех веб- и мобильных приложений, а также веб-сайтов. Впрочем, зачастую проблема заключается не в самом протоколе, а в том, как он развернут.

Авторы исследования начали исследование со скачивания 13 500 бесплатных приложений из Google Play и подвергать их «статическому анализу» . Этот вариант исследований включал проверку того, имеют ли SSL-реализации приложения уязвимости и подвержено ли приложение атаке типа «man-in-the-middle», когда атакующие прослушивают трафик между приемником и получателем. Реализовать последнее можно в публичных точках доступа или разных незащищенных сетях.

Результаты указали на то, что 8% базы или 1074 приложения содержали специфические элементы кода, которые были подвержены атакам и имели неправильную реализацию SSL-защиты.

В рекомендациях к документу специалисты советуют проводить самим разработчикам проводить статический анализ приложений по аналогии с тем, как это было сделано в исследовании. Также авторы отчета рекомендуют тщательнее работать с SSL-сертификатами и реализовывать защиту от поддельных сертификатов. Кроме всего прочего, разработчики рекомендовали самой Google тщательнее проверять безопасность приложений, размещаемых в каталоге.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *