新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 市場(chǎng)分析 > 研究稱8%免費(fèi)Android App有SSL漏洞

研究稱8%免費(fèi)Android App有SSL漏洞

作者: 時(shí)間:2012-10-25 來(lái)源:網(wǎng)易科技 收藏

  據(jù)臺(tái)灣媒體報(bào)道,約8%的免費(fèi) App使用容易遭受中間人攻擊的/TLS程序代碼。這些App中約有四成很容易遭受中間人攻擊而泄露手機(jī)中的資料。包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號(hào)與密碼。

本文引用地址:http://m.butianyuan.cn/article/138134.htm

  德國(guó)Leibniz、Philipps兩座大學(xué)的研究人員分析了1.35萬(wàn)個(gè)免費(fèi)App后發(fā)現(xiàn),其中約8%,總計(jì)1047個(gè)App使用容易遭受中間人攻擊的/TLS程序代碼。

  具體的操作分析方法是研究人員設(shè)計(jì)一個(gè)分析軟件MalloDroid,用來(lái)攔截并分析App的http/https聯(lián)機(jī)請(qǐng)求,同時(shí)檢核其憑證的有效性,結(jié)果發(fā)現(xiàn)測(cè)試的1.35萬(wàn)個(gè)App中,有1047個(gè)App接受任何來(lái)源的憑證。因此,研究人員進(jìn)一步挑選其中一百個(gè)App,發(fā)現(xiàn)其中41個(gè)很容易遭受中間人攻擊。透過(guò)這41個(gè)App,他們可以取得存在手機(jī)中的數(shù)據(jù),包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號(hào)與密碼。

  同時(shí),研究人員還發(fā)現(xiàn),利用假憑證能讓防病毒軟件誤判刪除特定軟件或完全失效,也可以從遠(yuǎn)程遙控讓程序加載惡意模塊。但該研究報(bào)告并未列出41款A(yù)pp的名稱,因?yàn)檠芯恐攸c(diǎn)在于一般常用軟件處理用戶數(shù)據(jù)的保護(hù)程度,而非惡意軟件或漏洞。研究人員估計(jì)這41款A(yù)pp當(dāng)中有三款安裝量介于一千萬(wàn)到五千萬(wàn),全部受影響的用戶可能介于395萬(wàn)到1.85億。

  據(jù)悉,研究人員使用網(wǎng)絡(luò)向754個(gè)用戶進(jìn)行調(diào)查,發(fā)現(xiàn)有一半的使用者不知道瀏覽器是否使用加密聯(lián)機(jī),而忽略憑證警告的使用者更高達(dá)56%。

  因此研究人員建議操作系統(tǒng)、在線軟件商店及開(kāi)發(fā)人員都可以解決該問(wèn)題,并計(jì)劃提供他們所研發(fā)的工具軟件MalloDroid讓用戶偵測(cè)是否面臨中間人攻擊的威脅,另外他們認(rèn)為必須提供更多資安教育與工具給開(kāi)發(fā)人員。

  據(jù)悉,SSL/TLS是因特網(wǎng)加密通訊方式的一種,但早在2002年就被資安專家MoxieMarlinspike判定不夠安全。



關(guān)鍵詞: Android SSL

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉