Čerstvá studie výzkumníků z německých univerzit v Hanoveru a Marburgu ukázala, že mobilní aplikace zdarma nemusí uživateli zaručovat bezpečnost jeho dat. Zaměřili se na programy pro Android a z obchodu Google Play stáhli celkem 13 500 aplikací. Ty nejdřív nechali otestovat nástrojem MalloDroid, který prověřuje hlavně platnost SSL certifikátů a související chyby.
MalloDroid označil 1074 aplikací (asi 8 %), které vykazovaly potenciální slabá místa pro útoky typu MITM (man in the middle). Ty spočívají v přesměrování síťového datového toku tak, aby procházel přes počítač útočníka, který může data před odesláním k jejich původnímu cíli upravit nebo zkopírovat.
Výzkumníci vybrali 100 z takto předvybraných aplikací a pokusili se prolomit jejich zabezpečení. U 41 byli úspěšní a dokázali z nich získat údaje o platebních kartách či přihlašovací údaje k PayPalu, Facebooku, Twitteru, Googlu, Yahoo, Microsoft Live ID, WordPressu a dalším službám.
Kromě chyb vývojářů je podle výzkumníků jednou z hlavních příčin slabého zabezpečení i nedostatek systému Android, který nedostatečně informuje uživatele o používání SSL certifikátů. Ani obchod Google Play při použití neplatného SSL certifikátu uživatele na tuto skutečnost neupozorní, varují výzkumníci.
Další podrobnosti o výzkumu si můžete přečíst zde (PDF, anglicky)
