Множество Android-приложений можно взломать


FireEyeСпециалисты из компании FireEye провели исследование, цель которого показать, что множество смартфонов уязвимы к атакам типа "человек посередине".

В рамках исследования было проверено 10 тыс. наиболее популярных приложений для ОС Android. В результате удалось установить, что большая их часть содержит критические ошибки безопасности, такие как бреши в шифровании и обработке сертификатов. Так более 60% из проверенных ими программ оказались подвержены этим уязвимостям.

Специалисты считают, что из-за экосистемы ОС Android, которая связана с коммуникациями, эта система и стала привлекательной для взломщиков. Так, например, ошибки SSL, которые присутствуют в большинстве приложений для этой ОС, могут скомпрометировать все усилия разработчиков по поддержанию безопасности системы.

SSL заинтересовало специалистов по той причине, что в результате анализа исходного кода уязвимых приложений в нем были выявлены три основные ошибки:

  • trust-менеджеры не проверяют подлинность сертификатов;
  • приложения не проверяют подлинность сервера, к которому они соединяются;
  • при использовании движка Webkit ошибки SSL попросту игнорируются.


Здесь наиболее частой проблемой стала ошибка с trust-менеджерами - она присутствовала в 73% из 1000 самых популярных Android-приложений. Именно благодаря этой ошибке злоумышленник может совершить атаку "человек посередине", в результате чего получить доступ к персональным данным пользователей. Ошибки Webkit затронули 77% из 1000 наиболее популярных программ.

По этой причине рекламные сети становятся привлекательной добычей для хакеров, которые практикуют атаки "человек посередине". Получив контроль над устройством пользователя, злоумышленники могут установить на него вредоносное ПО либо перенаправить запросы браузера на другой сайт. Так исследователи установили, что две самые рекламируемые библиотеки (Flurry и Chartboost) в проверенном пакете приложений использовали уязвимые trust-менеджеры.

Напомним, что большинство ошибок в криптографии и SSL появляются в результате беспечности программистов во время разработки приложений. А для удобства проведения альфа- и бета-тестирования, производят отключение функции безопасности. Такая практика довольно опасная, т.к. перед выпуском конечного продукта разработчики забывают про активацию функции безопасности.


Обновлено (22.08.2014 00:40)