Uspjeli su skupiti povjerljive podatke vezane uz American Express, Diners Club, PayPal, bankovne račune, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, poslužitelje s udaljenom kontrolom, razne e-mail račune i IBM Sametime. Problem se javlja jer programeri ne koriste na ispravan način postavke SSL-a koje nudi programsko sučelje Androida. Neki od primjera su aplikacije koje su podešene tako da vjeruju svakom certifikatu bez obzira na domenu. Tako na primjer, aplikacije koje se spajaju na PayPal će prihvatiti certifikat za drugu domenu. K tomu, aplikacije ne obavještavaju dovoljno korisnike o tome prenose li se povjerljivi podaci. Istraživači tvrde da će alat koji je razvijen za skeniranje SSL implementacije, biti dostupan kao web aplikacija te kao dio Androguard sigurnosnog skenera.
srijeda, 24. listopada 2012.
Sigurnosni propusti Android aplikacija pri korištenju SSL-a
Uspjeli su skupiti povjerljive podatke vezane uz American Express, Diners Club, PayPal, bankovne račune, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, poslužitelje s udaljenom kontrolom, razne e-mail račune i IBM Sametime. Problem se javlja jer programeri ne koriste na ispravan način postavke SSL-a koje nudi programsko sučelje Androida. Neki od primjera su aplikacije koje su podešene tako da vjeruju svakom certifikatu bez obzira na domenu. Tako na primjer, aplikacije koje se spajaju na PayPal će prihvatiti certifikat za drugu domenu. K tomu, aplikacije ne obavještavaju dovoljno korisnike o tome prenose li se povjerljivi podaci. Istraživači tvrde da će alat koji je razvijen za skeniranje SSL implementacije, biti dostupan kao web aplikacija te kao dio Androguard sigurnosnog skenera.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.