Hlavní navigace

Průzkum 13 500 aplikací na Google Play: u 41 nalezeny vážné chyby v zabezpečení

David Slížek

Čerstvá studie výzkumníků z německých univerzit v Hanoveru a Marburgu ukázala, že mobilní aplikace zdarma nemusí uživateli zaručovat bezpečnost jeho dat. Zaměřili se na programy pro Android a z obchodu Google Play stáhli celkem 13 500 aplikací. Ty nejdřív nechali otestovat nástrojem MalloDroid, který prověřuje hlavně platnost SSL certifikátů a související chyby.

Čerstvá studie výzkumníků z německých univerzit v Hanoveru a Marburgu ukázala, že mobilní aplikace zdarma nemusí uživateli zaručovat bezpečnost jeho dat. Zaměřili se na programy pro Android a z obchodu Google Play stáhli celkem 13 500 aplikací. Ty nejdřív nechali otestovat nástrojem MalloDroid, který prověřuje hlavně platnost SSL certifikátů a související chyby.

MalloDroid označil 1074 aplikací (asi 8 %), které vykazovaly potenciální slabá místa pro útoky typu MITM (man in the middle). Ty spočívají v přesměrování síťového datového toku tak, aby procházel přes počítač útočníka, který může data před odesláním k jejich původnímu cíli upravit nebo zkopírovat.

Výzkumníci vybrali 100 z takto předvybraných aplikací a pokusili se prolomit jejich zabezpečení. U 41 byli úspěšní a dokázali z nich získat údaje o platebních kartách či přihlašovací údaje k PayPalu, Facebooku, Twitteru, Googlu, Yahoo, Microsoft Live ID, WordPressu a dalším službám.

Tip Content Machovec

Kromě chyb vývojářů je podle výzkumníků jednou z hlavních příčin slabého zabezpečení i nedostatek systému Android, který nedostatečně informuje uživatele o používání SSL certifikátů. Ani obchod Google Play při použití neplatného SSL certifikátu uživatele na tuto skutečnost neupozorní, varují výzkumníci.

Další podrobnosti o výzkumu si můžete přečíst zde (PDF, anglicky) 

Našli jste v článku chybu?
23. 10. 2012 12:02
Petr (neregistrovaný)

Já jsem zase objevil aplikaci, která v Play i během instalace vyžaduje mnohem menší práva, než která pak hlásí telefon, že po nainstalování má. Psal jsem Googlu a vůbec se mi neobtěžovali odpovědět. Je samozřejmě možné, že si telefon (i když nevím proč) vymýšlí, ale jestli jde předstírat, že app práva nepožaduje a ve skutečnosti v telefonu je pak má, tak to je zásadní bezpečnostní bug.

23. 10. 2012 12:07
Redmarx (neregistrovaný)

Prectete si to PDFko, to by clovek blil z takovyhlech nic nerikajicich vyzkumu.