[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

Német egyetemi kutatók szerint az Android alkalmazások fejlesztői meglehetősen sokszor hagynak biztonsági réseket az alkalmazásaikban. Különösen a titkosított kommunikáció megvalósítása hagy kívánni valót maga után.

Napjainkban a mobilbiztonság és különösen az Android platformot veszélyeztető fenyegetettségek központi biztonsági témává kezdenek válni. Egyre több biztonsági kutató foglalkozik mindezzel, és időnként publikálnak is érdekes kutatási eredményeket. A napokban is ez történt, amikor a Leibniz Egyetem valamint a Philipps Egyetem munkatársai egy közös jelentés keretében számoltak be a legutóbbi vizsgálataik, felméréseik eredményeiről. A megállapításaik főleg a Google valamint a fejlesztők számára szolgálnak tanulságokkal.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/android_feny_1.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/android_feny_1.jpg” align=”center”/]

Az egyetemi kutatók első körben a Google Play-ről 13500 darab alkalmazást választottak ki véletlenszerűen, és ezeket automatizált eszközök segítségével biztonsági vizsgálatokba vonták be. Az eredmény az lett, hogy a szoftverek 8 százaléka, vagyis több mint ezer darab program tartalmazott olyan hibákat, amelyek közbeékelődéses (MITM- man-in-the-middle) támadásokra adhattak lehetőséget. Ezt követően a szakemberek további száz – szintén véletlenszerűen kiválasztott – alkalmazást vettek górcső alá, azonban ezúttal már manuális elemzéseket is végeztek. Kiderült, hogy a száz program közül 41 volt sérülékeny MITM-támadásokkal szemben.

Mi az alapvető probléma?

A két egyetem munkatársai igyekeztek arra is fényt deríteni, hogy mi áll a fenti sérülékenységek hátterében. A vizsgálataik során egyértelművé vált, hogy a fejlesztők nem mindig fordítanak kellő figyelmet a biztonságos kommunikáció és a védett adatkapcsolatok megvalósítására. Ez a gyakorlatban azt jelenti, hogy sok probléma van a SSL/TLS támogatással. A kutatók szerint e hiányosságok kihasználásával bizalmas adatokhoz lehet hozzáférést szerezni. Például olyan alkalmazásokból sikerült értékes információkat megkaparintaniuk, amelyek többek között az American Express, a Paypal, a Facebook, a Twitter, a Google és a Yahoo! szolgáltatásaihoz kapcsolódtak. Emellett Microsoft Live ID azonosítókat, WordPress hitelesítési adatokat, illetve távoli szerverek eléréséhez szükséges bejelentkezési információkat is meg tudtak kaparintani a teszt környezetükben.

Az is előfordul, hogy a mobil alkalmazások ugyan támogatják a titkosított kommunikációt, ugyanakkor ezt mégsem megfelelő módon teszik. A szakemberek ráakadtak például egy olyan levelezőkliensre, amely képes volt titkosított kommunikáció kiépítésére, azonban ezt nem alapértelmezett beállítások mellett tette, és a felhasználót nem figyelmeztette arra, hogy a levelei védtelenül közlekednek az interneten. Ezért ez esetben a védelem csak akkor juthatott érvényre, ha a felhasználó belebotlott a biztonsági beállításokba, és azokat megfelelően módosította.

Miután bebizonyosodott, hogy a felhasználók tájékoztatása korántsem mindig kielégítő, ezért a kutatók egy kiegészítő felmérést is végeztek. Ennek során több mint 750 felhasználó bevonásával azt vizsgálták, hogy a biztonsági figyelmeztetéseknek milyen hatásuk van. A kutatás során a felhasználók 56 százaléka nem vette észre vagy nem vett tudomást a biztonsági riasztásokról. 50 százalékuk pedig nem tudta megmondani, hogy a mobil webböngészővel éppen letöltött oldal védett-e vagy sem.

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/android_feny_2.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/android_feny_2.jpg” align=”center” alt=”Facebook riasztás”/]

Mit lehet tenni?

Az egyetemi kutatók a feltárt problémák megoldásának kezelését alapvetően három szinten látják megvalósíthatónak. A biztonsági hiányosságokat ugyanis az Android OS, a Google Play valamint az egyes alkalmazások esetében is figyelembe kell venni, és megfelelő kockázatcsökkentő lépéseket kell tenni. A szakemberek jelezték, hogy várhatóan publikussá fogják tenni a vizsgálatok során használt MalloDroid alkalmazásukat, amelynek segítségével MITM-támadásokra lehetőséget adó sebezhetőségek tárhatók fel.

Forrás: www.biztonsagportal.hu

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest