Γερμανοί ερευνητές του πανεπιστημίου του Ανοβέρου και του πανεπιστημίου του Μάρμπουργκ σε έρευνα που πραγματοποίησαν χρησιμοποιώντας χιλιάδες δημοφιλείς δωρεάν εφαρμογές του Android ανακάλυψαν η υποκλοπή στοιχείων από αρκετές από αυτές είναι αρκετά εύκολη.
Συνολικά εντοπίστηκαν 41 εφαρμογές στο Play Store που μπορούσαν να διαρρεύσουν ευαίσθητα προσωπικά δεδομένα σχετικά εύκολα. Συνδέοντας τις συσκευές με ένα τοπικό δίκτυο που χρησιμοποιούσε μια πληθώρα γνωστών exploit, οι ερευνητές μπόρεσαν να παρακάμψουν τα πρωτόκολλα ασφαλείας των εφαρμογών αυτών και να αποκτήσουν πρόσβαση στα δεδομένα των χρηστών.
«Μπορούσαμε να συγκεντρώσουμε πληροφορίες για τραπεζικούς λογαριασμούς, διαπιστευτήρια PayPal, American Express και άλλα» αναφέρουν οι ερευνητές. Μπόρεσαν ακόμα να υποκλέψουν κωδικούς Facebook και ηλεκτρονικού ταχυδρομείου καθώς και το περιεχόμενο των e-mail και διαλόγους από προγράμματα instant mesaging.
Οι ερευνητές δεν αποκάλυψαν ποιες είναι οι συγκεκριμένες εφαρμογές, ανέφεραν μόνο πως δυο αυτές έχουν γίνει download από 39,5 και 185 εκατομμύρια χρήστες.
Ο αριθμός των ευάλωτων εφαρμογών μάλιστα μπορεί στην πραγματικότητα να είναι μεγαλύτερος. Από τις 13.500 δωρεάν εφαρμογές που ερευνήθηκαν, συνολικά οι 1.074, το 8% δηλαδή, βρέθηκαν να είναι δυνητικά ευπαθείς σε exploits.
Τα ευρήματα αυτά τονίζουν τον αρκετά εύθραυστο χαρακτήρα των πρωτοκόλλων SSL και TLS, ο συνδυασμός των οποίων αποτελεί τη βάση για την κρυπτογράφηση της συντριπτικής πλειοψηφίας των ιστοσελίδων.
Αν και η τεχνολογία αυτή θεωρείται γενικά ασφαλής, η προστασία που προσφέρει μπορεί να υπονομευθεί όταν οι ίδιοι οι προγραμματιστές δεν παίρνουν τα απαραίτητα μέτρα ασφαλείας για την εφαρμογή τους.
Εκπρόσωπος της Google αρνήθηκε να σχολιάσει την έρευνα.
Αν και δεν υπάρχουν ενδείξεις ότι οποιαδήποτε από τις ευάλωτες εφαρμογές αναπτύχθηκε από υπαλλήλους της Google, οι ερευνητές είπαν ότι οι ίδιοι οι μηχανικοί της εταιρείας θα μπορούσαν να λάβουν μέτρα για την ασφάλεια των χρηστών.
Συνολικά εντοπίστηκαν 41 εφαρμογές στο Play Store που μπορούσαν να διαρρεύσουν ευαίσθητα προσωπικά δεδομένα σχετικά εύκολα. Συνδέοντας τις συσκευές με ένα τοπικό δίκτυο που χρησιμοποιούσε μια πληθώρα γνωστών exploit, οι ερευνητές μπόρεσαν να παρακάμψουν τα πρωτόκολλα ασφαλείας των εφαρμογών αυτών και να αποκτήσουν πρόσβαση στα δεδομένα των χρηστών.
«Μπορούσαμε να συγκεντρώσουμε πληροφορίες για τραπεζικούς λογαριασμούς, διαπιστευτήρια PayPal, American Express και άλλα» αναφέρουν οι ερευνητές. Μπόρεσαν ακόμα να υποκλέψουν κωδικούς Facebook και ηλεκτρονικού ταχυδρομείου καθώς και το περιεχόμενο των e-mail και διαλόγους από προγράμματα instant mesaging.
Οι ερευνητές δεν αποκάλυψαν ποιες είναι οι συγκεκριμένες εφαρμογές, ανέφεραν μόνο πως δυο αυτές έχουν γίνει download από 39,5 και 185 εκατομμύρια χρήστες.
Ο αριθμός των ευάλωτων εφαρμογών μάλιστα μπορεί στην πραγματικότητα να είναι μεγαλύτερος. Από τις 13.500 δωρεάν εφαρμογές που ερευνήθηκαν, συνολικά οι 1.074, το 8% δηλαδή, βρέθηκαν να είναι δυνητικά ευπαθείς σε exploits.
Τα ευρήματα αυτά τονίζουν τον αρκετά εύθραυστο χαρακτήρα των πρωτοκόλλων SSL και TLS, ο συνδυασμός των οποίων αποτελεί τη βάση για την κρυπτογράφηση της συντριπτικής πλειοψηφίας των ιστοσελίδων.
Αν και η τεχνολογία αυτή θεωρείται γενικά ασφαλής, η προστασία που προσφέρει μπορεί να υπονομευθεί όταν οι ίδιοι οι προγραμματιστές δεν παίρνουν τα απαραίτητα μέτρα ασφαλείας για την εφαρμογή τους.
Εκπρόσωπος της Google αρνήθηκε να σχολιάσει την έρευνα.
Αν και δεν υπάρχουν ενδείξεις ότι οποιαδήποτε από τις ευάλωτες εφαρμογές αναπτύχθηκε από υπαλλήλους της Google, οι ερευνητές είπαν ότι οι ίδιοι οι μηχανικοί της εταιρείας θα μπορούσαν να λάβουν μέτρα για την ασφάλεια των χρηστών.
http://www.pinnokio.gr/arthro/eyalwtes-se-kakoboylo-logismiko-arketes-efarmoges-android
0 σχόλια:
Δημοσίευση σχολίου
Παρακαλώ προσπαθείτε να μην βρίζετε στα σχόλια και να μην θίγετε ονομαστικά πρόσωπα,κάνουμε πάντα έναν έλεγχο, ώστε να μην π.χ κατηγορούνται άδικα πρόσωπα.
Δεν θέλουμε να μπούμε σε διαδικασία να σβήνουμε σχόλια, ούτε φυσικά και να τα καταργήσουμε, γιατί δεν γουστάρουμε...