Вкратце, выяснилось следующее (далее — перевод резюме доклада):
Результаты
1,074 приложения из 13500 исследованных используют при пересылке персональных данных (логины, пароли, платежные данные и т.п.) SSL, но при этом либо принимают любые сертификаты без проверки, либо любые имена хостов для сертификатов, и следовательно могут быть уязвимы для атак типа man-in-the-middle (MITM).
41 приложения из 100 отобранных для более детального тестирования вручную оказались в самом деле уязвимы к таким атакам из-за некорректной работы с SSL.
Общее количество пользователей, у которых на смартфонах установлены эти приложения, для которых наличие уязвимостей было подтверждено тестированием — от 39,5 до 185 миллионов человек согласно данным Google Play Market. Среди этих приложений есть три, каждое из которых имеет от 10 до 50 миллионов пользователей. Такой разброс связан с тем, что Google Play Market не показывает точного количества пользователей приложения, а сообщает только диапазон, в который оно попадает. Реальное количество пользователей, скорее всего, больше, так как кроме официального репозитория есть еще и неофициальные.
Из данных, передаваемых этим 41 приложением, исследователям удалось получить платежные данные, относящиеся к American Express, Diners Club, Paypal, разным банковским счетам, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, WordPress, удаленно управляемым серверам, пароли к почтовым службами и к IBM Sametime, и т.п.
Кроме этого, исследователям удалось внедрить собственные вирусные сигнатуры в антивирусное ПО, чтобы оно считало вирусом произвольное ПО или вообще прекратило обнаруживать вирусы (дело было в том, что антивирус принимал обновление антивирусной базы через сломанное соединение через SSL, которое он ошибочно полагал надежным и не проверял целостность получаемого обновления; антивирус принимал и обновления, полностью стирающие базу сигнатур).
Также получилось удаленно внедрить и запустить код в приложении, созданном с помощью фреймворка для создания приложений, в котором тоже нашли указанную уязвимость.
Хуже того, 378 (50.1%) из опрошенных в онлайне 754 пользователей Android, не могли распознать, передаются ли данные браузером с использованием SSL или нет. 419 (55.6%) из 754 не видели никаких предупреждений о некорректном сертификате и обычно оценивали риск, о котором их предупредили, как средний или низкий. Среди пользователей были и специалисты в области IT (38,1% опрошенных считали себя экспертами в IT, а 23,2% имели в прошлом дело с компрометированными учетными записями или иными данными для аутентификации.
Мораль для разработчика: бди!
Мораль для пользователя: не пользуйся открытым wi-fi без пароля там, где этого можно избежать. Если не избежал, используй только очень-очень надежные и проверенные приложения (пожалуй, для меня это значит — только Gmail от Google).
Для дополнительного чтения
Полный текст отчета (англ.)
Еще одна история, но про Trojan!FakeLookout.A под Андроид, которым было заражено приложение в Google Play Market (англ.)
Перевод истории про Trojan!FakeLookout.A с моими небольшими авторскими комментариями.
ссылка на оригинал статьи http://habrahabr.ru/post/156327/
Добавить комментарий