Aplicaţiile Android, vulnerabile la atacuri SSL din vina dezvoltatorilor

22.10.2012
Aplicaţiile Android, vulnerabile la atacuri SSL din vina dezvoltatorilor

Nu este prima dată când sistemul de operare Android intra în atenţia specialiştilor în securitate şi probabil nu este nici ultima dată, însă concluziile studiului întocmit de un grup de cercetători germani aruncă vina exclusiv în seama dezvoltatorilor software neglijenţi.

Într-un cadrul unei analize făcute de mai mulţi cercetători din cadrul universităţilor Leibniz (Hamburg) şi Philipps (Marburg), aceştia au ajuns la neplăcuta concluzie că 1074 din cele 13.500 de aplicaţii analizate, toate disponibile în Android Market, suferă de implementări defectuoase ale rutinelor software de criptare. Această problemă nu este însă generată de codul versiunii Ice Cream Sandwich, pe care s-a făcut analiza, ci de utilizarea greşită a API-ului SSL din Android.

Conform rezultatelor, aplicaţiile în cauză sunt sensibile la atacuri de tip man-in-the-middle, cercetătorii reuşind interceptarea datelor cu caracter privat manevrate de aplicaţii bancare, clienţi de email, aplicaţii pentru social networking şi chiar antiviruşi. Dacă în primele cazuri este clar ce fel de date au putut fi furate prin această metodă, în cazul ultimului tip de produse s-a reuşit chiar împingerea unor actualizări false a semnăturilor virale care au permis închiderea unor aplicaţii de bună credinţă prim marcarea lor ca fiind infectate sau chiar oprirea modulelor de securitate rezidente.

Aceste probleme sunt generate fie de acceptarea de certificare de securitate livrate de orice domeniu, în loc de limitarea la domeniile specificate în acestea, acceptarea oricăror certificate chiar dacă acestea sunt expirate sau invalide sau ignorarea trecerii de la HTTPS la HTTP a unei conexiuni iniţial securizate.

Ar fi fost interesantă o comparaţie cu alte sisteme de operare mobile, însă cercetătorii germani s-au axat doar pe Android din cauza caracterului open-source al acestuia. Aceştia au anunţat şi dezvoltarea unui instrument Web pentru scanarea implementărilor SSL ale aplicaţiilor instalate, MalloDroid urmând să fie lansat la o dată încă neprecizată.

Un antivirus vulnerabil la atacuri SSL