2012-10-24

研究:8%免費Android App有SSL漏洞可能洩露個資

研究:8%免費Android App有SSL漏洞可能洩露個資


約8%的免費Android App使用容易遭受中間人攻擊的SSL/TLS程式碼。這些App中約有四成個很容易遭受中間人攻擊而洩露手機中的資料,包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、Windows Live等各式帳號與密碼。

德國Leibniz、Philipps兩座大學的研究人員分析1.35萬個Android免費App後發現,其中約8%,總計1047個App使用容易遭受中間人攻擊的SSL/TLS程式碼。

SSL/TLS是網際網路加密通訊方式的一種,但早在2002年就被資安專家Moxie Marlinspike判定不夠安全。此次德國研究人員設計一個分析軟體MalloDroid來攔截並分析App的http/https連線請求,同時檢核其SSL憑證的有效性,結果發現測試的1.35萬個App中,有1047個App接受任何來源的憑證。

研究人員進一步挑選其中一百個App,發現其中41個很容易遭受中間人攻擊。透過這41個App,他們可以取得存在手機中的資料,包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、Windows Live等各式帳號與密碼。

研究人員還發現,利用假憑證能讓防毒軟體誤判刪除特定軟體或完全失效,也可以從遠端遙控讓程式載入惡意模組。

該研究報告並未列出41款App的名稱,因為研究重點在於一般常用軟體處理使用者資料的保護程度,而非惡意軟體或漏洞。研究人員估計這41款App當中有三款安裝量介於一千萬到五千萬,全部受影響的用戶可能介於395萬到1.85億。

研究人員使用網路向754個使用者進行調查,發現有一半的使用者不知道瀏覽器是否使用加密連線,而忽略憑證警告的使用者更高達56%。

研究人員建議Android作業系統、線上軟體商店及開發人員都可以解決該問題,並計劃提供他們所研發的工具軟體MalloDroid讓使用者偵測是否面臨中間人攻擊的威脅,另外他們認為必須提供更多資安教育與工具給開發人員。(編譯/沈經)

轉載自《iThome》