研究称8%免费Android App有SSL漏洞

安全
德国Leibniz、Philipps两座大学的研究人员分析了1.35万个Android免费App后发现,其中约8%,总计1047个App使用容易遭受中间人攻击的SSL/TLS程序代码。

德国Leibniz、Philipps两座大学的研究人员分析了1.35万个Android免费App后发现,其中约8%,总计1047个App使用容易遭受中间人攻击的SSL/TLS程序代码。

具体的操作分析方法是研究人员设计一个分析软件MalloDroid,用来拦截并分析App的http/https联机请求,同时检核其SSL凭证的有效性,结果发现测试的1.35万个App中,有1047个App接受任何来源的凭证。因此,研究人员进一步挑选其中一百个App,发现其中41个很容易遭受中间人攻击。透过这41个App,他们可以取得存在手机中的数据,包含信用卡、银行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式账号与密码。

同时,研究人员还发现,利用假凭证能让防病毒软件误判删除特定软件或完全失效,也可以从远程遥控让程序加载恶意模块。但该研究报告并未列出41款App的名称,因为研究重点在于一般常用软件处理用户数据的保护程度,而非恶意软件或漏洞。研究人员估计这41款App当中有三款安装量介于一千万到五千万,全部受影响的用户可能介于395万到1.85亿。

据悉,研究人员使用网络向754个用户进行调查,发现有一半的使用者不知道浏览器是否使用加密联机,而忽略凭证警告的使用者更高达56%。

因此研究人员建议Android操作系统、在线软件商店及开发人员都可以解决该问题,并计划提供他们所研发的工具软件MalloDroid让用户侦测是否面临中间人攻击的威胁,另外他们认为必须提供更多资安教育与工具给开发人员。

据悉,SSL/TLS是因特网加密通讯方式的一种,但早在2002年就被资安专家MoxieMarlinspike判定不够安全。

责任编辑:蓝雨泪 来源: 飞象网
相关推荐

2011-05-18 14:05:14

2014-10-15 14:27:31

2016-10-24 17:47:38

2022-07-07 00:13:14

零日漏洞变种

2016-07-13 14:40:38

云计算

2015-03-10 11:34:51

2010-12-07 10:38:01

2020-01-09 10:42:44

SSL证书监控

2015-03-30 09:54:57

2012-10-23 14:51:38

2010-12-02 10:05:24

2012-02-22 09:32:38

亚马逊APPAndroid

2020-12-18 09:49:48

iOS ChromiWKWebViewJavaScript

2011-12-12 20:56:55

Android

2015-08-20 15:26:10

漏洞滴滴打车滴滴专车券

2014-03-23 17:51:10

2015-03-05 15:01:52

2011-05-02 11:23:54

AndroidiOS苹果

2021-07-26 05:17:14

安卓APP漏洞攻击

2011-11-08 14:24:43

点赞
收藏

51CTO技术栈公众号