В Android-приложениях нашли уязвимости

Исследователи из Университета Вильгельма Лейбница в Ганновере и Марбургского университета имени Филиппа изучили около 13,5 тысяч приложений для Android из магазина Google Play и обнаружили, что некоторые из них ставят под угрозу пользовательские данные. Сорок одно популярное приложение с аудиторией от 39,5 млн. до 185 млн. пользователей содержит уязвимости, из-за которых содержимое переписки, контакты, пароли к социальным сетям и данные для входа в системы онлайн-банкинга могут оказаться в руках злоумышленников.

Всего исследователи выявили более тысячи потенциально уязвимых приложений и отобрали около ста из них для дальнейшего изучения. Приложения тестировались на Android 4.0 Ice Cream Sandwich. Подключившись к локальной сети, начинённой известными эксплойтами, исследователи сумели взломать протоколы SSL и TSL, используемые приложениями при обмене данными с удалёнными серверами. Это даёт возможность перехватывать банковские реквизиты и реквизиты платёжных систем, пароли для входа на Facebook, почтовые и облачные сервисы, управлять веб-камерами и подменять адреса серверов, а также читать электронные письма и мгновенные сообщения.

Исследователи не приводят конкретных названий, ограничиваясь общими определениями. В числе уязвимых приложений – антивирус, принимающий недействительные сертификаты при подключении к антивирусной базе для получения обновлений. В ходе эксперимента ему удалось "скормить" вредоносные сигнатуры.

Другой пример – приложение для доступа к облачным хранилищам, установленный на устройствах от 1 млн. до 5 млн. пользователей. Эта программа провинилась тем, что может раскрыть злоумышленникам данные для входа на сайт.

Клиент популярного сайта от сторонних разработчиков допускает утечку паролей для доступа к Facebook и Google. Этим приложением пользуются более 1 млн. человек. В списке также упоминается "очень популярный кроссплатформенный сервис для обмена сообщениями" с аудиторией от 10 млн. до 50 млн. пользователей: это приложение раскрывает посторонним телефонные номера из адресной книги устройства.

В исследовании даются разнообразные рекомендации по совершенствованию защиты SSL на в Android, но что делать пользователям до тех пор, пока эти усовершенствования будут реализованы, остаётся неясным. Впрочем, большинство уязвимых приложений, судя по словам исследователей, создано сторонними разработчиками, а значит, чтобы обезопасить себя от злоумышленников, имеет смысл устанавливать только официальные клиенты, разработанные Google, самими социальными сетями, облачными и почтовыми сервисами.