8% приложений для Android не защищают данные пользователей
В отчете говорится, что это становится возможным из-за небезопасных механизмов в протоколах SSL и TLS, которые лежат в основе защиты данных всех веб- и мобильных приложений, а также веб-сайтов. Впрочем, зачастую проблема заключается не в самом протоколе, а в том, как он развернут.
Авторы исследования начали исследование со скачивания 13 500 бесплатных приложений из Google Play и подвергать их "статическому анализу" . Этот вариант исследований включал проверку того, имеют ли SSL-реализации приложения уязвимости и подвержено ли приложение атаке типа "man-in-the-middle", когда атакующие прослушивают трафик между приемником и получателем. Реализовать последнее можно в публичных точках доступа или разных незащищенных сетях.
Результаты указали на то, что 8% базы или 1074 приложения содержали специфические элементы кода, которые были подвержены атакам и имели неправильную реализацию SSL-защиты.
В рекомендациях к документу специалисты советуют проводить самим разработчикам проводить статический анализ приложений по аналогии с тем, как это было сделано в исследовании. Также авторы отчета рекомендуют тщательнее работать с SSL-сертификатами и реализовывать защиту от поддельных сертификатов. Кроме всего прочего, разработчики рекомендовали самой Google тщательнее проверять безопасность приложений, размещаемых в каталоге.
