Приложений для Android и iOS уязвимы к FREAK-атакам


FireEyeЭксперты из компании FireEye отмечают, что сотни приложений для Android и iOS все еще остаются уязвимыми к FREAK-атакам - атакам, которые позволяют злоумышленникам скомпрометировать зашифрованные данные.

Однако, эксперты не указывают конкретных названий, лишь отмечают, что брешь затрагивает приложения различных категорий, в том числе финансовые, торговые, медицинские и пр. В FireEye отмечают, что исправление даже самых известных и опасных уязвимостей обычно занимает довольно долгое время. В свою очередь бездействие разработчиков программ ставит под угрозу конфиденциальную информацию пользователей, в мобильных устройствах которых установлены уязвимые приложения.

Так, по состоянию на 4 марта 2015 года, последние версии платформ Android и iOS все еще оставались уязвимыми к FREAK-атакам. А FREAK является уязвимостью, как платформы, так и приложения. Это связано с тем, что и Android, и iOS-программы могут сами содержать уязвимые библиотеки OpenSSL. И даже после того, как вендоры выпустят исправления, в Android и iOS подобные приложения по-прежнему будут оставаться уязвимыми к FREAK при соединении с серверами, принимающим криптонаборы RSA_EXPORT. Именно по этой причине некоторые iOS-приложения могут быть уязвимыми даже после того, как Apple исправила брешь в версии платформы 8.2.

Всего экспертами было проанализировано 10 985 популярных Android-приложений из магазина Google Play. Оказалось, что 11,2% (1228) из них уязвимы к FREAK-атакам из-за использования библиотек OpenSSL для соединения с HTTPS-серверами.

Что касается iOS, 771 (5,5%) приложение из 14 079 подключается к уязвимым HTTPS-серверам. Уязвимыми к FREAK-атакам являются и программы для iOS версии ниже 8.2. Также стоит отметить, что 7 приложений из 771 содержат собственные библиотеки OpenSSL, а, соответственно, остаются уязвимыми даже на iOS 8.2.


Обновлено (18.03.2015 16:16)