Около 8% приложений для Android не защищают данные пользователей. Такие данные, как номера банковского счета и различные персональные данные могут стать предметом утечки из небезопасных Android-приложений, говорится в отчете немецких исследователей из Университета Лейбница в Ганновере и Филиппса в Марбурге.
Совместная группа специалистов выявила 41 небезопасное приложение в Google Play Market, которые в общей сложности скачали более 181 млн. раз. Немецкие исследователи говорят, что при помощи указанных приложений можно получать данные к реквизитам PayPal, American Express и другим платежным сведениям.
В отчете говорится, что это становится возможным из-за небезопасных механизмов в протоколах SSL и TLS, которые лежат в основе защиты данных всех веб- и мобильных приложений, а также веб-сайтов. Впрочем, зачастую проблема заключается не в самом протоколе, а в том, как он развернут.
Авторы исследования начали исследование со скачивания 13 тыс. 500 бесплатных приложений из Google Play и подвергать их «статическому анализу». Этот вариант исследований включал проверку того, имеют ли SSL-реализации приложения уязвимости и подвержено ли приложение атаке типа «man-in-the-middle», когда атакующие прослушивают трафик между приемником и получателем. Реализовать последнее можно в публичных точках доступа или разных незащищенных сетях.
Результаты указали на то, что 8% базы или 1 тыс. 74 приложения содержали специфические элементы кода, которые были подвержены атакам и имели неправильную реализацию SSL-защиты.
В рекомендациях к документу специалисты советуют проводить самим разработчикам проводить статанализ приложений по аналогии с тем, как это было сделано в исследовании. Также авторы отчета рекомендуют тщательнее работать с SSL-сертификатами и реализовывать защиту от поддельных сертификатов. Кроме всего прочего, разработчики рекомендовали самой Google тщательнее проверять безопасность приложений, размещаемых в каталоге.
