SAN FRANCISCO, BRATISLAVA. Nedbalé programovanie, mizerné záplatovanie a nespoľahlivé overovanie.
To všetko je podľa novej štúdie typické pre mobilné aplikácie. Výskumníci z bezpečnostnej agentúry FireEye preskúmali najpopulárnejšie aplikácie pre Android a zistili, že väčšina z nich môže odkryť súkromie používateľa.
Programátori sú nedôslední a ignorujú skutočnosť, že ich aplikácie pracujú s dátami, ktoré zbierajú v rámci svojich povolení zo smartfónov. Ekosystém Androidu je postavený na komunikácii a práve tá je medzi mobilom a servermi nedostatočne zabezpečená.
Analytici nahliadli do kódu, aby zistili, akí dôslední sú vývojári pri používaní SSL šifrovania o overovania certifikátov pri prenose dát. Sústredili sa na vyhľadávanie najčastejších chýb pri kontrole certifikátov a identity serverov či pri ošetrovaní chybových stavov.
Takéto chyby totiž umožňujú takzvané útoky typu man-in-the-middle, pri ktorých hacker vstupuje do komunikácie, aby špehoval dátový tok alebo upravoval dáta.
Pri analýze výskumníci zistili, že situácia je oveľa horšia, ako si pôvodne mysleli. Pri niektorých typoch problémov odhalili nedostatky pri viac ako 70 percentách z tisícky najpopulárnejších aplikácií, pri prvej desaťtisícke aplikácií - v závislosti od problému - poklesla chybovosť na zhruba 40 a 13 percent pri každej chybe. Znamená to, že väčšina aplikácií má problém.
Toto alarmujúce číslo by malo byť výstrahou pre každého, kto to so zachovaním súkromia myslí vážne.
Chybné aplikácie by sa mohli stať terčom útočníkov, ktorí v posledných mesiacoch začali používať inzertné systémy na šírenie škodlivého kódu.
Ak nabúrajú dátové toky aplikácie tak, aby upravili reklamný obsah či iný informačný komponent, môžu zneužiť známe chyby operačného systému na inštalovanie škodlivého kódu.
Napísali v magazíne The Register.
