srijeda, 24. listopada 2012.

Sigurnosni propusti Android aplikacija pri korištenju SSL-a

Prema izvješću njemačkih istraživača, među 13000 analiziranih Android aplikacija, njih više od 1000 sadržavaju ozbiljne propuste u načinima primjene SSL implementacije. Istraživači s Leibniz Sveučilišta u Hannoveru i Philipps Sveučilišta u Marburgu, otkrili su da je 17% aplikacija koje koriste SSL, ranjivo na MITM napad.
Uspjeli su skupiti povjerljive podatke vezane uz American Express, Diners Club, PayPal, bankovne račune, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, poslužitelje s udaljenom kontrolom, razne e-mail račune i IBM Sametime. Problem se javlja jer programeri ne koriste na ispravan način postavke SSL-a koje nudi programsko sučelje Androida. Neki od primjera su aplikacije koje su podešene tako da vjeruju svakom certifikatu bez obzira na domenu. Tako na primjer, aplikacije koje se spajaju na PayPal će prihvatiti certifikat za drugu domenu. K tomu, aplikacije ne obavještavaju dovoljno korisnike o tome prenose li se povjerljivi podaci. Istraživači tvrde da će alat koji je razvijen za skeniranje SSL implementacije, biti dostupan kao web aplikacija te kao dio Androguard sigurnosnog skenera.

Nema komentara:

Objavi komentar

Poruka će biti vidljiva nakon provjere.