HTTPS defektas leidžia nutekinti Android programėlių slaptažodžius


Google Play Store rastos dešimtys programėlių, kurios arba nenaudoja HTTPS sujungimo, arba jį naudoja neteisingai, o tai leidžia gauti prieigą prie vartotojų autentifikacijos duomenų, rašo Arstechnica.

Tokios programėlės buvo parsisiųstos daugiau nei 200 mln. kartų, o spragos jose nebuvo pašalintos net tuomet, kai apie jas buvo informuoti jų kūrėjai. Kritinė spraga buvo rasta, naudojant nemokamą programėlę AppBugs.

best_android_apps_680

Pavyzdžiui, pasimatymų tarnyba Match.com naudoja nešifruotą HTTP sąsają, siunčiant slaptažodžius, todėl tame pačiame Wi-Fi tinkle arba per „nulaužtą“ maršrutizatorių juos galima perimti ir perskaityti.

Programėlės NBA Game Time, Safeway ir PizzaHut naudoja HTTPS nekorektiškai, o tai leidžia pasinaudoti ataka „žmogus viduryje“, kai vartotojo duomenims perskaityti naudojamas netikras skaitmeninis sertifikatas.

NBA programėlė reikalauja NBA League Pass paskyros, kuri kainuoja $199. Apie pažeidžiamumą buvo pranešta dar vasario mėnesį, tačiau atsakymo nebuvo sulaukta, kaip ir maždaug 50 kitų programėlių autorių.

password-interception-640

Iš viso buvo aptikta apie 100 programėlių su minėta saugumo spraga, tačiau tik 28 iš jų klaida buvo ištaisyta.

Google galėtų savarankiškai aptikti Play Store patalpintas pažeidžiamas programėles, tačiau nepanašu, kad kompanija tuo užsiimtų, teigia rinkos ekspertai.

Dabartinis atradimas padarytas, praėjus porai mėnesių po to, kai studentai iš San Francisko rado programėlių su panašia HTTPS klaida, o jų bendras parsisiuntimų skaičius sudarė 350 mln. kartų.

Reikia pažymėti, kad iOS buvo rasta panaši klaida, kuri priversdavo HTTPS veikti nekorektiškai tūkstančiuose iPhone ir iPad programėlių.

Vienas komentaras

  1. Ronnie parašė:

    Wow katik suzinojote? Taciau neparasete kad tik kaikuriu programeliu sakykim nulauzes wifi negausi facebook ar kitu panasiu slaptazodziu nebent labai pasiseks o is patirties zinau kad cs:go lounge labai lengva nes ji leidzia is https pakeisti i http


Kitos kategorijos naujienos