חוקרים בגרמניה: יישומי אנדרואיד חושפים פרטים אישיים בגלל יישום לא נכון של פרוטוקול SSL

החוקרים זיהו 1,000 יישומים לא בטוחים, מתוך 13 אלף שבדקו, שעלולים לחשוף פרטים של כרטיסי אשראי ונתונים נוספים ● הם דיווחו, כי הצליחו ללכוד באמצעות הפרצות בין היתר פרטים של כרטיסי אשראי, חשבונות בנק וסיסמאות באתרים דוגמת גוגל ופייסבוק

יותר מ-1,000 יישומי אנדרואיד (Android), מתוך דגימה של 13 אלף יישומים שנותחו על ידי חוקרים בגרמניה, כוללים פרצות חמורות באופן שבו יושם בהם פרוטוקול SSL.

החוקרים, מאוניברסיטת לייבניץ בהנובר ומאוניברסיטת פיליפס במרבורג, מצאו פרצות ב-17% מיישומי ה-SSL שבדקו. הם גילו שהאופן שבו יושם פרוטוקול SSL ביישומים אלה עלול לחשוף את המשתמשים למתקפות מסוג MITM (ר"ת man-in-the-middle).

החוקרים דיווחו, כי הצליחו ללכוד באמצעות הפרצות "פרטים של כרטיסי אשראי, חשבונות בנק, סיסמאות באתרים דוגמת גוגל (Google) ופייסבוק (Facebook), פרטים בשירות WordPress, סיסמאות של שרתים, חשבונות דואר אלקטרוני וסיסמאות של IBM Sametime ו-Microsoft Live ID".

מלבד זאת, מאחר שגם תוכנות אנטי וירוס עושות שימוש בפרוטוקול SSL, החוקרים הצליחו לגרום לתוכנות אלה לזהות יישומים תמימים כווירוסים או למנוע מהן לזהות וירוסים אמיתיים.

החוקרים מציעים את הכלי שפיתחו לבדיקה של יישומי SSL, שמכונה MalloDroid, כיישום אינטרנט, והוא יוצע גם במסגרת סורק האבטחה Androguard.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים