8% приложений в Google Play потенциально угрожают безопасности пользователей

    Немецкие ученые (да-да, в этот раз их британские коллеги ни при чем!) только что опубликовали результаты свежего исследования безопасности приложений для Андроид, размещенных в Google Play. Краткий рассказ на Mashable об исследовании с мало что говорящей видеопрезентацией и крикливым заголовком Study Reveals Android Apps Leak Personal Data заставил меня обратиться к первоисточнику.

    Вкратце, выяснилось следующее (далее — перевод резюме доклада):

    Результаты


    1,074 приложения из 13500 исследованных используют при пересылке персональных данных (логины, пароли, платежные данные и т.п.) SSL, но при этом либо принимают любые сертификаты без проверки, либо любые имена хостов для сертификатов, и следовательно могут быть уязвимы для атак типа man-in-the-middle (MITM).

    41 приложения из 100 отобранных для более детального тестирования вручную оказались в самом деле уязвимы к таким атакам из-за некорректной работы с SSL.

    Общее количество пользователей, у которых на смартфонах установлены эти приложения, для которых наличие уязвимостей было подтверждено тестированием — от 39,5 до 185 миллионов человек согласно данным Google Play Market. Среди этих приложений есть три, каждое из которых имеет от 10 до 50 миллионов пользователей. Такой разброс связан с тем, что Google Play Market не показывает точного количества пользователей приложения, а сообщает только диапазон, в который оно попадает. Реальное количество пользователей, скорее всего, больше, так как кроме официального репозитория есть еще и неофициальные.

    Из данных, передаваемых этим 41 приложением, исследователям удалось получить платежные данные, относящиеся к American Express, Diners Club, Paypal, разным банковским счетам, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, WordPress, удаленно управляемым серверам, пароли к почтовым службами и к IBM Sametime, и т.п.

    Кроме этого, исследователям удалось внедрить собственные вирусные сигнатуры в антивирусное ПО, чтобы оно считало вирусом произвольное ПО или вообще прекратило обнаруживать вирусы (дело было в том, что антивирус принимал обновление антивирусной базы через сломанное соединение через SSL, которое он ошибочно полагал надежным и не проверял целостность получаемого обновления; антивирус принимал и обновления, полностью стирающие базу сигнатур).

    Также получилось удаленно внедрить и запустить код в приложении, созданном с помощью фреймворка для создания приложений, в котором тоже нашли указанную уязвимость.

    Хуже того, 378 (50.1%) из опрошенных в онлайне 754 пользователей Android, не могли распознать, передаются ли данные браузером с использованием SSL или нет. 419 (55.6%) из 754 не видели никаких предупреждений о некорректном сертификате и обычно оценивали риск, о котором их предупредили, как средний или низкий. Среди пользователей были и специалисты в области IT (38,1% опрошенных считали себя экспертами в IT, а 23,2% имели в прошлом дело с компрометированными учетными записями или иными данными для аутентификации.

    Мораль для разработчика: бди!
    Мораль для пользователя: не пользуйся открытым wi-fi без пароля там, где этого можно избежать. Если не избежал, используй только очень-очень надежные и проверенные приложения (пожалуй, для меня это значит — только Gmail от Google).

    Для дополнительного чтения


    Полный текст отчета (англ.)
    Еще одна история, но про Trojan!FakeLookout.A под Андроид, которым было заражено приложение в Google Play Market (англ.)
    Перевод истории про Trojan!FakeLookout.A с моими небольшими авторскими комментариями.
    • +18
    • 12,7k
    • 9
    Поделиться публикацией

    Комментарии 9

      +1
      Большая часть понятия «безопасность» всегда зависит от пользователя. Бдить всегда и везде.
        +1
        Есть золотое правило во всём, что касается любой информации: «Trust no one».
        Все данные хранить только у себя, в системах, настроенных тобой, где ты знаешь каждую запятую конфигов.
        Тот же дропбокс, после «дней открытых дверей», раскрытой информации о пользователях, раскрытой информации о том что персонал дропбокс видит файлы пользователей, окончательно добил веру в аутсорс хранения информации.

        Поэтому, свой VPS, криптоконтейнеры, OpenVPN c длинными ключами, собственная сборка Android из вычитанных сорцов и так далее.

        Разумеется, далеко не всё реально реализуемо. Та же вычитка сорцов Андроида. Но чем ближе к идеалу, тем спокойнее будет.

        Человечество семимильными шагами движется к безграничной доступности информации. Уже сейчас то что попало в открытую сеть, мгновенно остаётся там навсегда. Обычный пользователь никогда не сможет удалить информацию о себе из сети. Даже необычный не может быть уверен, что информация не осталась у кого-то в личном хранилище.

        Поэтому, «Не доверяй никому», «Молчание — золото», «Никогда ничего не трогай голыми руками» и прочие подобные правила.
          +1
          Да да, советы отличные… тратить пол жизни на настройку и поддержку своих аналогов сервисов это отличное решение…
          Но постойте, а где же будут эти сервера стоять? Они что в вакууме будут? К ним так же будет иметь доступ персонал хостера. А если это VPS то все еще проще. Значит строим свои датацентры, ведь не верь никому! Но блин, тотально зашифровать все и вся невозможно, есть сайты которые работает без https (да да, тот же хабр), а ведь используя данные акка можно очень сильно насолить его владельцу, значит прокладываем свои линии связи, так что ли?
          Маразм можно продолжать очень долго…
          Ваш подход это не выход, это недостижимый идеал… даже не идеал но решение стремящееся к нему. И на практике абсолютно не применим. Если конечно не поставить целью своей жизни шифрование всего и вся.

          Думаю с ситуацией тотального распространения информации уже ничего не поделать. Если только полностью менять концепцию интернета, делать электронные паспорта с жесточайшим контролем и т.д. И то, думаю это не решит на 100% проблему.

          Думаю надо просто понимать, что большая часть инфы о тебе, так или иначе будет в сети. И с этим просто придется смириться… так или иначе нас подведут к ситуации когда придется часть инфы о себе рассказать всем. Остальное будет само накапливаться. Кто с кем дружит, в какую школу ходил, где работал и т.д.
          По поводу личных данных, то тот же дропбокс отлично шифруется, и не надо для этого держать свой сервак.
          Параноя тут не поможет, ибо например таже винда лысая, занимает 15 гигов. Туда черта лысого можно засунуть в эти 15 гигов, и проверить это невозможно в принципе. Так что все ваши приватные ключи легко могут утащить, например во время штатного обновления системы и выявить это будет не реально ибо будет сделано на самом низком уровне в ситеме. И это только 1 пример.
          Тоже самое с любой ОС.
          Да что там ОС, уже есть куча инфы по гипервизорам в биосах. Т.е. троян зашивается на уровне железа и контролирует загружаемую операционку и выявить это тоже очень сложно, если вообще возможно.

          Что я хочу сказать? А то что нет спасения, нет золотых правил и серебряных пуль. Современные технологии реально контролируют все железо и сфот которые мы используем. Не важно комп это, планшет или смартфон. Хочется только надеяться, что все это делается для лучшего впаривания нам всякой фигни рекламой… но здравый смысл подсказывает, что это не так.

          Когда начинаешь думать, что могут сделать люди контролирующие эти технологии, становится реально страшно…
            0
            Вы, видимо, готовите заговор, либо у вас какие-то ещё страшные тайны. Хотя больше ваше сообщение похоже на паранойю.

            А мне вот плевать, что мои файлы кто-то может увидеть. Зато все мои данные находятся в облачных хранилищах, что очень гибко и при этом надёжно. Большая часть данных не представляет ни для кого интереса. Остаётся позаботиться о безопасности ничтожно малой части данных.

            Насчёт голых рук… Может, и сексом в костюме химзащиты заниматься?
              0
              А мне вот плевать, что мои файлы кто-то может увидеть.
              Одной девочке тоже было плевать, а в результате — 4-тысячная толпа и погромы. По новому российскому законодательству ей грозила бы как минимум КоАП 20.2.2 п. 2 — «наложение административного штрафа на граждан в размере от ста пятидесяти тысяч до трехсот тысяч рублей или обязательные работы на срок до двухсот часов».

              И это всего лишь вполне безобидный день рождения и собственная маленькая оплошность. При малейшем недобром намерении при наличии вполне безобидных данных можно обеспечить вполне серьезные неприятности. Так что незачем светить лишний раз то, что можно не светить. Полная открытость хороша лишь для девочек, которым нечего терять, кроме любимой барби и фотографии Аллена Делона.
            0
            Наплевательское отношение к сертификатам вообще повсеместное. Куча приложений, использующих TLS, вообще не позволяют никак проверить, какой именно сертификат используется, даже отпечатки ключа не посмотреть. Причём это характерно не только для мобильных, но и для десктопных приложений. А всё почему? А потому, что сами пользователи не понимают, как именно эта «безопасность» работает и что нужно предпринимать, чтобы она из «безопасности» превратилась в безопасность.
              +1
              Отсутствие мозгов — 100% угрожает безопасности пользователя.
                0
                Рекомендую вот эту статью.

                В ней проблема кривого использования криптографии рассматривается на практике. Если короткую выжимку сделать: везде жопа, абсолютно на всех платформах.
                  –1
                  Да… собрать бы все эти андроиды и сжечь вместе с гуглом и гугл-плеем.

                  Вернулись бы фирменные смартфоны и мобилы, каждый со своей собственной прошивкой, интерфейсом, всякие симбианы бы дальше развивались. А то все скатилось в унылый гондроид

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое