Hlavní navigace

Průzkum 13 500 aplikací na Google Play: u 41 nalezeny vážné chyby v zabezpečení

David Slížek

Čerstvá studie výzkumníků z německých univerzit v Hanoveru a Marburgu ukázala, že mobilní aplikace zdarma nemusí uživateli zaručovat bezpečnost jeho dat. Zaměřili se na programy pro Android a z obchodu Google Play stáhli celkem 13 500 aplikací. Ty nejdřív nechali otestovat nástrojem MalloDroid, který prověřuje hlavně platnost SSL certifikátů a související chyby.

Čerstvá studie výzkumníků z německých univerzit v Hanoveru a Marburgu ukázala, že mobilní aplikace zdarma nemusí uživateli zaručovat bezpečnost jeho dat. Zaměřili se na programy pro Android a z obchodu Google Play stáhli celkem 13 500 aplikací. Ty nejdřív nechali otestovat nástrojem MalloDroid, který prověřuje hlavně platnost SSL certifikátů a související chyby.

MalloDroid označil 1074 aplikací (asi 8 %), které vykazovaly potenciální slabá místa pro útoky typu MITM (man in the middle). Ty spočívají v přesměrování síťového datového toku tak, aby procházel přes počítač útočníka, který může data před odesláním k jejich původnímu cíli upravit nebo zkopírovat.

Výzkumníci vybrali 100 z takto předvybraných aplikací a pokusili se prolomit jejich zabezpečení. U 41 byli úspěšní a dokázali z nich získat údaje o platebních kartách či přihlašovací údaje k PayPalu, Facebooku, Twitteru, Googlu, Yahoo, Microsoft Live ID, WordPressu a dalším službám.

CIF17_Rabaino_Lupa

Kromě chyb vývojářů je podle výzkumníků jednou z hlavních příčin slabého zabezpečení i nedostatek systému Android, který nedostatečně informuje uživatele o používání SSL certifikátů. Ani obchod Google Play při použití neplatného SSL certifikátu uživatele na tuto skutečnost neupozorní, varují výzkumníci.

Další podrobnosti o výzkumu si můžete přečíst zde (PDF, anglicky) 

Našli jste v článku chybu?