Сотрудники двух немецких университетов установили, что 17% Android-приложений с SSL позволяет злоумышленнику провести атаку «человек посередине».
Сотрудники ганноверского университета Лейбниц и магбургского университета Филиппс изучили порядка 13 000 приложений и более чем в 1 000 из них они обнаружили ошибки реализации SSL протокола.
В ходе исследования ученые пришли к выводу, что 17% всех приложений, которые используют SSL, содержат ошибки, позволяющим злоумышленнику провести атаку «человек посередине». Авторы исследования заявили, что им успешно удалось получить учетные данные таких служб, как American Express, Diners Club PayPal, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, IBM Sametime, а также различных почтовых сервисов и банковских счетов.
Исследователи установили, что проблемы SSL присутствуют и у мобильных антивирусов: «Нам удалось встроить вирусные сигнатуры в антивирусное приложение и заставить его распознавать произвольное приложение как вирус, а также полностью отключить антивирусную защиту».
Подобные проблемы возникают ввиду того, что разработчики некорректно настраивают конфигурацию SSL в API операционной системы. Среди приложений с недостаточным уровнем защиты шифрованных подключений в 21% случаев протокол доверял абсолютно всем сертификатам, а в 20% случаев представленный сертификат предлагался в независимости от того, с какого домена он был доставлен.
С исследованием проблем реализации SSL в приложениях для Android можно ознакомиться здесь.
Одно найти легче, чем другое. Спойлер: это не темная материя