沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

FireEye:60%的流行安卓应用存安全风险

        根据安全研究公司FireEye的研究,在针对Google Play 中1000个最流行的Android应用的研究发现, 其中60%的应用,由于SSL代码错误以及证书处理的错误。至少存在着中间人攻击的风险。

ieaqYn

        “安卓生态系统急需帮助, 因为SSL漏洞和中间人攻击(MITM)攻击正在对数据安全造成严重破坏。” FireEye在博客中写道。

        FireEye的研究人员发现了三类基本的SSL错误:

        1)可信管理没有检查证书是否有效

        2)应用不去确认远程服务器的域名是否正确

        3)在使用Webkit时忽略SSL错误码(即当安全完整性检查出错时的错误码)

b6zIVv
        可信管理引擎不对后端服务器进行身份验证是目前看来最常见的问题。 这使得黑客可以伪造成合法的身份来盗取数据。 在Google Play商店最流行的1000个安卓应用中,有73%的应用存在这样的问题。 在最流行的1万个应用中, 有40%存在这样的问题。

        第二常见的问题就是Webkit的错误码问题。 在最流行的1000个应用中,有77%存在这样的问题,在最流行的1万个应用中,有13%存在此类问题。

        对中间人攻击来说, 目前广告网络是最大的攻击目标。 黑客或者是通过劫持连接来安恶意软件, 或者把用户劫持大其他网站。 FireEye的研究团队发现最流行的两个广告库Flurry和Chartboost都使用了不可靠的可信管理器。

        这两个系统目前都已经加了补丁, 不过这并不意味着第三方的应用开发人员就会立即更新他们的应用。 重新对代码进行编译并发布。

        “很多SSL和密码的问题与应用如何进行测试和发布相关。在开发过程中, 很多开发人员发现对SSL验证进行禁用可以方便测试。” Neohapsis的安全研究顾问Patrick Thomas说“这是很危险的, 因为这需要有人能够记住在软件发布的时候把SSL验证加进来。 这一点很容易被忘记从而导致严重后果。 这类错误说明了在产品开发阶段安全专家与开发团队合作的重要性。 在产品发布前, 除了功能测试外, 安全测试也非常重要。 ”

发表评论