29

Szyfrowanie danych przez aplikacje w Google Play to jakiś żart! Zagrożonych może być nawet 185 mln użytkowników

Aplikacje są główną siłą każdej platformy mobilnej. Jak się okazuje, mogą też być jej zgubą. Dowiedli tego naukowcy z uniwersytetów w Hannowerze i Magburgu, którzy przetestowali 13,5 tys. darmowych aplikacji z Google Play, na podstawie, których wysnuli wniosek, że na atak może być narażonych nawet 185 milionów użytkowników Androida. Jak to możliwe? Wszystko ma swój […]

Aplikacje są główną siłą każdej platformy mobilnej. Jak się okazuje, mogą też być jej zgubą. Dowiedli tego naukowcy z uniwersytetów w Hannowerze i Magburgu, którzy przetestowali 13,5 tys. darmowych aplikacji z Google Play, na podstawie, których wysnuli wniosek, że na atak może być narażonych nawet 185 milionów użytkowników Androida. Jak to możliwe?

Wszystko ma swój początek w protokołach SSL i TLS, które teoretycznie powinny być podstawowym zabezpieczeniem podczas komunikacji użytkowników (a konkretnie aplikacji klienckich) z serwerami wybranych usług (startupów, banków, serwisach społecznościowych etc.). Nie jest chyba dla nikogo nowością, że zastosowanie certyfikatu tego typu na nic się zda, jeśli jego dostawca nie zabezpieczy odpowiednio infrastruktury albo dana strona www nie zachowa odpowiednich środków ostrożności. Niemieccy naukowcy dowiedli, że przyczyną ataku może być też niepoprawna implementacja certyfikatu przez developerów aplikacji mobilnych.

Jak już wspomniałem, przeprowadzone badanie polegało na sprawdzeniu 13,5 tys. darmowych aplikacji z Google Play. Test polegał na sprawdzeniu podatności na ataki popularnych exploitów umieszczonych w sieci przez innych jej użytkowników (a więc mowa tutaj o takich miejscach, jak:hotspot, uczelniana sieć WiFi itp.). Wyniki były zaskakujące – 1074 aplikacje akceptowały każdy certyfikat (lub nazwę hosta dla certyfikatu). Tym samym były one podatne na ataki.

Spośród tej liczby naukowcy wybrali setkę, którą poddali bardziej szczegółowym testom. Okazało się, że aż z 41 z nich łatwo wykraść dane. W niektórych przypadkach aplikacje akceptowały certyfikaty, które były podpisane jedynie przez naukowców, a w innych certyfikaty autoryzowały inną domenę niż ta, do której aplikacja w zamyśle autorów miała uzyskać dostęp. Zdarzały się też przypadki, że aplikacje akceptowały wygasłe certyfikaty. We wszystkich tych przypadkach podatność na atak ze strony użytkownika tej samej sieci była niezwykle wysoka.

Jak mógłby przebiegać atak? Naukowcy zaprezentowali kilka przykładowych scenariuszy. Weźmy aplikację zabezpieczającą, czyli antywirusa, który łączy się z serwerem producenta i pobiera nowe sygnatury zagrożeń. Podczas testów udało się zamiast sygnatur zaaplikować programowi przygotowany przez naukowców złośliwy podpis. W innym przypadku udało się doprowadzić do wycieku danych z aplikacji, która pozwalała na wysyłanie i pobieranie plików na konto w chmurze, a także wykraść dane dostępowe do kont na Facebooku i Google z jednego z popularnych programów do obsługi serwisu Web 2.0. Testów naukowców nie przeszedł też pobrany przez 10 do 50 mln użytkowników multikomunikator mobilny. Bez większego trudu udało się im wykraść numery telefonów z listy kontaktów w telefonie, do której program miał dostęp.

Najbardziej przerażające jest jednak to, że opisywany problem może dotyczyć łącznie od 39,5 mln do 185 mln użytkowników (bo taką maksymalną liczbę pobrań wg Google Play mają wszystkie „dziurawe” aplikacje). Nie jest to zatem sprawa, którą można zbagatelizować. Rzecznik prasowy Google milczy na ten temat. Sami naukowcy nie poinformowali o tym, ze jakiekolwiek aplikacje przygotowane przez Google mogą być podatne na ataki, ale nie ukrywają też, że pracownicy firmy powinni znacznie wcześniej podjąć kroki, by zapewnić developerom możliwość bezpieczniejszej implementacji szyfrowania przesyłanych danych.

Oczywiście nie znaczy to, że powinniśmy teraz hurtem wyrzucać z telefonów wszystkie programy. W przytłaczającej większości przypadków problem dotyczy aplikacji klienckich przygotowanych przez firmy trzecie (a więc niezwiązane z danym serwisem czy usługą). W przypadku oficjalnych klientów na ogół nie obserwowano podatności na ataki.

Przyznam szczerze, że o ile hasło o kolejnym problemie z bezpieczeństwem w Androidzie mnie szczególnie nie zdziwiło, to jego skala owszem. Strach pomyśleć, co by było, gdyby testy niemieckich naukowców nie wykazały podatności na tego typu ataki. W kwestii bezpieczeństwa platformy Google (nie tylko mobilnej zresztą) jest jeszcze bardzo dużo do zrobienia. Myślę, że to właśnie ten aspekt powinien być priorytetem, jeśli chodzi o dalszy rozwój zielonego robota. Przy tak ogromnej popularności i nieustannie rosnącej liczbie użytkowników nawet małe luki mogą być tragiczne w skutkach – co dopiero ten, porażający swoim rozmiarem przypadek.

źródło: arstechnica
 
Partner sekcji mobilnej:


Alternatywna zawartość w przypadku braku flash-a

Patronem sekcji Mobile jest Sony Mobile, producent Xperia™ T – smartfona sprawdzonego przez Jamesa Bonda. Xperia T wyposażona została w najlepszy ekran HD o przekątnej 4,6 cala z technologią Mobile BRAVIA® Engine oraz doskonały aparat fotograficzny o rozdzielczości 13 MP z funkcją fast capture.

Smartfon napędza dwurdzeniowy procesor najnowszej generacji o taktowaniu 1,5 GHz, zapewniający dłuższe życie baterii, szybkie działanie i ultra-ostrą grafikę.