8% приложений в Google Play потенциально угрожают безопасности пользователей

в 17:23, , рубрики: android, Google Play, информационная безопасность, Разработка под android, метки: , ,

Немецкие ученые (да-да, в этот раз их британские коллеги ни при чем!) только что опубликовали результаты свежего исследования безопасности приложений для Андроид, размещенных в Google Play. Краткий рассказ на Mashable об исследовании с мало что говорящей видеопрезентацией и крикливым заголовком Study Reveals Android Apps Leak Personal Data заставил меня обратиться к первоисточнику.

Вкратце, выяснилось следующее (далее — перевод резюме доклада):

Результаты

1,074 приложения из 13500 исследованных используют при пересылке персональных данных (логины, пароли, платежные данные и т.п.) SSL, но при этом либо принимают любые сертификаты без проверки, либо любые имена хостов для сертификатов, и следовательно могут быть уязвимы для атак типа man-in-the-middle (MITM).

41 приложения из 100 отобранных для более детального тестирования вручную оказались в самом деле уязвимы к таким атакам из-за некорректной работы с SSL.

Общее количество пользователей, у которых на смартфонах установлены эти приложения, для которых наличие уязвимостей было подтверждено тестированием — от 39,5 до 185 миллионов человек согласно данным Google Play Market. Среди этих приложений есть три, каждое из которых имеет от 10 до 50 миллионов пользователей. Такой разброс связан с тем, что Google Play Market не показывает точного количества пользователей приложения, а сообщает только диапазон, в который оно попадает. Реальное количество пользователей, скорее всего, больше, так как кроме официального репозитория есть еще и неофициальные.

Из данных, передаваемых этим 41 приложением, исследователям удалось получить платежные данные, относящиеся к American Express, Diners Club, Paypal, разным банковским счетам, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, WordPress, удаленно управляемым серверам, пароли к почтовым службами и к IBM Sametime, и т.п.

Кроме этого, исследователям удалось внедрить собственные вирусные сигнатуры в антивирусное ПО, чтобы оно считало вирусом произвольное ПО или вообще прекратило обнаруживать вирусы (дело было в том, что антивирус принимал обновление антивирусной базы через сломанное соединение через SSL, которое он ошибочно полагал надежным и не проверял целостность получаемого обновления; антивирус принимал и обновления, полностью стирающие базу сигнатур).

Также получилось удаленно внедрить и запустить код в приложении, созданном с помощью фреймворка для создания приложений, в котором тоже нашли указанную уязвимость.

Хуже того, 378 (50.1%) из опрошенных в онлайне 754 пользователей Android, не могли распознать, передаются ли данные браузером с использованием SSL или нет. 419 (55.6%) из 754 не видели никаких предупреждений о некорректном сертификате и обычно оценивали риск, о котором их предупредили, как средний или низкий. Среди пользователей были и специалисты в области IT (38,1% опрошенных считали себя экспертами в IT, а 23,2% имели в прошлом дело с компрометированными учетными записями или иными данными для аутентификации.

Мораль для разработчика: бди!
Мораль для пользователя: не пользуйся открытым wi-fi без пароля там, где этого можно избежать. Если не избежал, используй только очень-очень надежные и проверенные приложения (пожалуй, для меня это значит — только Gmail от Google).

Для дополнительного чтения

Полный текст отчета (англ.)
Еще одна история, но про Trojan!FakeLookout.A под Андроид, которым было заражено приложение в Google Play Market (англ.)
Перевод истории про Trojan!FakeLookout.A с моими небольшими авторскими комментариями.

Автор: philipto


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js