Tutkimuksessa asennettiin 13500 suosittua sovellusta Google Play -kaupasta. Näistä yli tuhannella sovelluksella oli vakavia puutteita SSL-varmenteessa, joka teki sovellukset alttiiksi MITM-hyökkäyksille. MITM-hyökkäyksissä eli mies välissä -hyökkäyksissä hyökkääjä asettuu kahden tietoa vaihtavan osapuolen välille välittäjäksi ja voi halutessaan muuttaa viestin sisältöä. Esimerkiksi useimmat lähiverkkotekniikat mahdollistavat MITM-tekniikan käytön.
Tutkimuksessa tutkijat pystyivät haavoittuvuuden avulla sieppaamaan sovellusten kautta esimerkiksi luottokorttinumeroita, nettipankkitunnuksia, sosiaalisen median tunnuksia ja sähköpostiosoitteita. Tutkijoiden mukaan jopa 39,5-185 miljoonaa ihmistä käyttävät sovelluksia, joissa on heikko SSL tai TLS. Tutkimusta varten tutkijat kehittivät MalloDroid-nimisen työkalun, joka suunniteltiin havaitsemaan ja tunnistamaan puutteita SSL:ssa.
Kommentit (7)
Googlella on paljon tekemistä/tutkittavaa ja kehitettävää ennen seuraavaa Android-versiota eli JB 4.1.1!!!. ;)
4.1.2 on jo julkaistu ja seuraava lienee 4.2
MIkä on sellainen puhelin mihin ei alan miehet pääse? Rikkinäinen Nokia.
Minkä ihminen osaa rakentaa sen myös toinen voi purkaa.
Vastaa
En tosin ennenkään olisi luottanut pankkiyhteyksissä mihinkään kännyköihin, vaan ihan PC:hen tai läppäriin.
Ennakoin jo kuulevani, että muillakin on vastaavia ongelmia, en ole niin vainoharhainen, että kaikki juttuni olisivat salaisia, mutta pankkijuttujen täytyy olla.
Täytyy olla todella minusta kiinnostunut, mikäli julkisia tekstejä tai valokuvia haluaa katella, voisi tulla haukotus.
@4
"Minkä ihminen osaa rakentaa sen myös toinen voi purkaa."
Tämä on sinänsä totta, mutta todellista pään pusikkoon pistämistä. Tietäen vielä Androidin erittäin huonon päivittyvyyden niin verkossa on jo nyt miljoonia laitteita useiden tunnettujen haavoittuvuuksien kera. Androidista on tullut erittäin nopeaa vauhtia kaikkien aikojen pahin tietoturvariesa.
Harva käyttäjä arvostaa kun heidän kuvansa/viestinsä on jossain 9gag:ssa hauskan tekstin saattelemana. Yrityskäyttäjillä taas usein jotain rahan arvoista mitä ei haluisi valuvan mihinkään hallitsemattomasti.
Jos datan leviäminen ei pelota niin en usko, että sinäkään olisit kauhean tyytyväinen jos puhelimesi soittelisi tietämättäsi öisin jonnekin Nigeriaan maksullisiin numeroihin?
@5 Siksi käytänkin puheluihin pikkusta Nokialaista ja muuhun käyttöön Android-puhelinta.
Ja toisaalta windowshan on ollut useimpien haittaohjelmien kuormittama.. Tämä tosin jo hivenen haisee..
niinkuin aiemmin kirjoitin pankkijuttujen täytyy olla hyvin kryptattuja.
Aikoinaan armeijan jutuissakin oli 24 tunnin välein vaihtuva 25-merkkinen salasana, ja oli laskettu, että sen murtamiseen menisi muutama vuorokausi, mutta silloin tieto olisi jo vanhentunutta.
Parempi tämä, joka istunnon jälkeen vaihtuva koodi, joka löytyy vain vihkosta.
Yleisesti, kuka nyt jaksaisi olla kaiken maailman kuvista tai teksteistä kiinnostunut, tietokanta on valtava, no toivottavasti ne jotka lukevat juttujani yleisestä sanomalehdestä.
Itse en ainakaan puhelimella tee mitään, mikä saattaisi vaarantaa itselle jonkin tärkeän tiedon. Tietoturva aina asian tärkeyden mukaan. Ei ole niin justiinsa, jos joku puhelimestani vie diipadaapa forumin tunnukset. Pankki asiat hoidan sitten tietokoneella. Tosin eipä se tietokonekaan välttämättä ole sen turvallisempi, mutta itsellä ainakin sen tietoturvaan enemmän panostettu.