O guia essencial para transformação de TI
Programação Sloppy, má aplicação de patches, e de confiança não confiáveis motores são abundantes dentro de aplicativos Android, de acordo com um novo estudo. Em suma, os usuários de smartphones milhões estão abertas a ataques man-in-the-middle.
Pesquisadores da empresa de segurança FireEye atravessou os 1.000 aplicações Android mais populares da loja do Google Play e descobriu que a grande maioria deles eram abertos a ataques, pelo menos man-in-the-middle, graças ao erro SSL com defeito e manejo certificado. Para os principais 10.000 apps que figura foi de 60 por cento.
"O ecossistema Android é tudo sobre comunicação, e agora ele está gritando por socorro", disse a equipe em um post no blog . "Isso porque as vulnerabilidades SSL eo Homem-In-the-middle (MITM) ataca eles permitem que estão causando estragos em segurança de dados."
Os pesquisadores examinaram o código para três erros básicos de segurança SSL: gerentes de confiança que não verificar os certificados digitais são ainda válido, aplicativos não verificar o hostname do servidor remoto está correto e código que ignora erros SSL quando utiliza o Webkit - Erros essa bandeira quando verificações de integridade de segurança falharam.
Motores de gestão fiduciária não verificar a identidade de servidores back-end é, de longe, o problema mais comum, e significa, essencialmente, canalhas podem se disfarçar como sistemas legítimos para desviar de dados, e assim por diante. Isto ocorreu em 73 por cento dos top 1000 aplicativos e 40 por cento dos top 10.000 pedidos na zona de download do Google.
A segunda falha mais comum era erros Webkit, afetando 77 por cento dos top 1000 aplicativos e 13 por cento dos top 10.000. Enquanto isso, os erros de nome de host verificando estavam nas figuras simples para ambos os grupos de teste.
As redes de anúncios são um vetor de ataque cada vez mais atraente para ataques man-in-the-middle, seja para seqüestrar uma conexão para instalar malware ou sugar os espectadores a outros sites. A equipe encontrou as duas bibliotecas de publicidade no topo do conjunto de amostras - Flurry e Chartboost - teve de gestão fiduciária não confiáveis.
Ambas as partes de software já fixa o seu software, mas isso não significa de terceiros programadores de aplicativos tiver atualizado, reconstruiu seu código e lançou novas versões.
"Muitas questões em SSL e criptografia surgem como os aplicativos são testados e liberados. Durante o desenvolvimento, muitas lojas de software encontrá-lo útil para desativar a validação normal do SSL para facilitar os testes," Patrick Thomas, consultor de segurança da empresa e gestão de riscos Neohapsis disse El Reg em um comunicado.
"Esta é uma prática perigosa, porque exige que alguém lembre-se de ligá-lo novamente antes do envio -. Um erro fácil de fazer com enormes consequências Este tipo de pesquisa destaca a importância de se ter conhecimento de segurança integrado com as equipes de desenvolvimento e execução de segurança específica testes (além de teste funcional) antes do lançamento ". ®
Nenhum comentário:
Postar um comentário