Dabar populiaru
Publikuota: 2012 spalio 23d. 09:18

Trečiųjų šalių sukurtose „Android“ aplikacijose apstu saugumo skylių

„Android“
Gedimino Gasiulio/15min.lt nuotr. / „Android“

Mažiausiai 41 legali aplikacija, skirta operacinei sistemai „Android“, gali būti panaudota asmeninių duomenų (įskaitant bankų kortelių numerius, slaptažodžius ir net susirašinėjimą verslo reikalais) vagystėms, tvirtina tyrėjai iš Vokietijos Leibnico universiteto (Hamburge) ir Filipso universiteto (Marburge).

Probleminės aplikacijos yra ypač populiarios – jų parsisiuntimų kiekis viršija dešimtis milijonų.

Daugybę saugumo spragų išnaudojančių programų (tarp jų – ir gebančių perimti tinklu perduodamus duomenis) pagalba tyrėjai sugebėjo perimti iš „Android“ įrenginių (su 4.0 operacinės sistemos versija) duomenis, įveikdami probleminių aplikacijų apsaugos priemones, kurios, kaip deklaruojama, naudoja TLS ir SSL protokolus.

Tai yra vienos populiariausių priemonių, siekiant užtikrinti saugumą naršant internete. Patys protokolai ir juose naudojamos technologijos laikomos saugiomis, tačiau nepakankamai saugi sertifikavimo centrų infrastruktūra, taip pat puslapiuose esančios klaidos lemia duomenų nutekinimą. Dabar prisidėjo ir dar viena silpna vieta – prastai sukurtos apsaugos priemonės mobiliesiems įrenginiams skirtose aplikacijose.

„Mes galėjome surinkti duomenis apie bankų sąskaitas, prisijungimus ir slaptažodžius prie „PayPal“, „American Express“ ir kitų mokėjimų sistemų. Be to, pavyko perimti autorizuotus duomenis, kurie skirti prisijungimui prie „Facebook“, elektroninio pašto ir debesų talpyklų, o taip pat perimti asmeninį susirašinėjimą; galėjome netgi pasinaudoti vaizdo kameromis“, – rašo tyrėjai.

Iš pavyzdžių buvo minima antivirusinė, į kurios duomenų bazę pavyko įrašyti pačių kūrėjų sukurtą kenkėjišką programą; su debesų talpyklomis leidžianti dirbti aplikacija, kurią naudoja keli milijonai žmonių, tačiau ji leidžia nutekinti prisijungimo duomenis dėl netinkamo SSL kanalo; taip pat populiari aplikacija, kurią naudoja milijonai žmonių ir kuri leidžia lengvai nugvelbti „Facebook“ bei „Google“ autorizacijos duomenis. Tarp „skylėtų“ „Android“ sprendimų minima ir daugelyje platformų naudojama internetinio susirašinėjimo aplikacija, kurios vartotojų skaičius perkopė 50 mln. vartotojų. Ši leidžia sužinoti telefonų numerius ir adresų knygos duomenis.

IT saugumo specialistai „skylėtų“ aplikacijų pavadinimų nenurodo, tačiau užsiminė, kad dauguma jų – o gal net ir visos – sukurtos trečiųjų šalių, o ne tų resursų savininkų, su kurių produktais veikia nesaugios aplikacijos.

„Android“ jau seniai tapo galvos skausmu saugumo specialistams: šiai programinei platformai yra sukurta daugiausia mobiliųjų kenkėjų, tačiau jų kiekis vis dar sparčiai auga, ir tokiais tempais, kad tam dėmesį skiria net JAV vyriausybinės institucijos (pvz., FTB).

FaceIT.lt
Pažymėkite klaidą tekste pele, prispaudę kairijį pelės klavišą
Pranešti klaidą

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Žiemos olimpinės žaidynės

Parašykite atsiliepimą apie Mokslas.IT