Миллионы пользователей смартфонов уязвимы к атакам "человек посередине". Об этом говорится в исследовании, проведенном специалистами компании FireEye.
Эксперты проверили 10 тысяч наиболее популярных приложений для ОС Android и выяснили, что большая их часть содержит критические ошибки безопасности - в основном бреши в шифровании и обработке сертификатов. Более 60% из проверенных программ оказались подвержены этим уязвимостям.
В своем блоге специалисты пишут, что экосистема ОС Android связана с коммуникациями, что делает ее привлекательной целью для взломщиков. Ошибки SSL, присутствующие в большинстве приложений для этой ОС, могут скомпрометировать все усилия разработчиков по поддержанию безопасности системы.
Исследователи проанализировали исходный код уязвимых приложений и нашли 3 основные ошибки в SSL: trust-менеджеры не проверяют подлинность сертификатов, приложения не проверяют подлинность сервера, к которому они соединяются, а при использовании движка Webkit ошибки SSL попросту игнорируются.
Одна из наиболее частых проблем – ошибка с trust-менеджерами: она присутствовала в 73% из 1000 самых популярных Android-приложений. Благодаря ей злоумышленник может совершить атаку "человек посередине" и получить доступ к персональным данным пользователей. Ошибки Webkit затронули 77% из 1000 наиболее популярных программ.
Рекламные сети становятся привлекательной добычей для хакеров, практикующих атаки "человек посередине". Получив контроль над ними, злоумышленники могут установить вредоносное ПО на смартфон жертвы либо перенаправлять запросы браузера на другой сайт. Исследователям удалось обнаружить, что две самые рекламируемые библиотеки (Flurry и Chartboost) в проверенном пакете приложений использовали уязвимые trust-менеджеры.
Как заявил консультант в области безопасности компании Neohapsis Патрик Томас (Patrick Thomas) изданию The Register, большинство ошибок в криптографии и SSL появляются вследствие беспечности программистов во время разработки приложений. Для удобства проведения альфа- и бета-тестов функции безопасности попросту отключают. Это опасная практика, поскольку разработчики забывают перед выпуском конечного продукта активировать функции безопасности. Это приводит к трагическим последствиям.
securitylab.ru