Android ir saugumas: trečių šalių aplikacijos yra pavojingiausios


Mažiausiai 41 legali aplikacija, skirta operacinei sistemai Android, gali būti panaudota asmeninių duomenų (įskaitant bankų kortelių numerius, slaptažodžius ir net susirašinėjimą verslo reikalais) vagystėms, tvirtina tyrėjai iš Vokietijos Leibnico universiteto (Hamburge) ir Filipso universiteto (Marburge). Probleminės aplikacijos yra super populiarios – jų parsisiuntimų kiekis jau viršija dešimtis milijonų.

Eilės saugumo spragas išnaudojančių programų (tame tarpe gebančių perimti tinklu perduodamus duomenis) dėka tyrėjai sugebėjo perimti iš Android įrenginių (su 4.0 ICS versija) duomenis, įveikiant probleminių aplikacijų apsaugos priemones, kurios, kaip deklaruojama, naudoja TLS ir SSL protokolus.

Kaip žinia, SSL ir TLS vieni populiariausių instrumentų, siekiant saugumo naršymo Internete metu. Patys instrumentai ir juose naudojamos technologijos laikomos saugiomis, tačiau nepakankamai saugi sertifikavimo centrų infrastruktūra, taip pat puslapiuose esančios klaidos lemia duomenų nutekinimą. Dabar prisidėjo ir dar viena „silpnų vietų“ rūšis – prastai sukurtos apsaugos priemonės mobiliems įrenginiams skirtose aplikacijose.

Mes galėjome surinkti duomenis apie bankų sąskaitas, prisijungimus ir slaptažodžius prie PayPal, American Express ir kitų mokėjimų sistemų. Be to, pavyko perimti autorizuotus duomenis, kurie skirti prisijungimui prie Facebook, elektroninio pašto ir debesų talpyklų, o taip pat perimti asmeninį susirašinėjimą; galėjome netgi pasinaudoti IP kameromis“, – rašo tyrėjai.

Iš pavyzdžių buvo minima antivirusinė, į kurios duomenų bazę pavyko įrašyti pačių kūrėjų sukurtą kenkėjišką programą, su debesų talpyklomis leidžianti dirbti aplikacija, kurią „naudoją keli milijonai žmonių, tačiau leidžia nutekinti prisijungimo duomenis dėl netinkamo SSL kanalo“, taip pat populiari WEB 2.0 klasės aplikacija, kurią naudoja  milijonai ir kurios dėka lengvai nutekinami Facebook bei Google autorizacijos duomenys. Tarp „skylėtų“ Android sprendimų minima ir „daugelyje platformų naudojama staigiųjų žinučių apsikeitimo aplikacija, kurios vartotojų skaičius perkopė 50 mln. vartotojų“. Ši leidžia sužinoti telefonų numerius ir adresų knygos (kas gi ji?).

IT saugumo specialistai „skylėtų“ aplikacijų pavadinimų nenurodo (ir teisingai daro), tačiau užsiminė, jog dauguma jų – o gal net ir visos – sukurtos „trečių šalių“, o ne tų resursų savininkų, su kurių produktais veikia nesaugios aplikacijos.

Android jau seniai tapo galvos skausmu saugumo specialistams: šiai programinei platformai yra sukurta daugiausia mobilių kenkėjų, tačiau jų kiekis vis dar sparčiai auga, ir tokiais tempais, jog tam dėmesį ėmė skirti ir JAV vyriausybinės institucijos (kaip, pavyzdžiui, FTB).

Komentuoti nebegalima


Kitos kategorijos naujienos