Android-sovelluksissa vakavia turva-aukkoja - pankkitunnukset vaarassa

7
Sami Koivunen

Android-sovelluksissa vakavia turva-aukkoja - pankkitunnukset vaarassa
TechWeek on uutisoinut saksalaisten Hannoverin ja Marburgin yliopistojen tekemästä tutkimuksesta, jonka mukaan useissa Google Play -kaupasta asennetuissa sovelluksissa on vakavia tietoturvapuutteita. Tutkijat asensivat tuhansia sovelluksia ja lähes kahdeksan prosenttia sovelluksista sisälsi vakavia puutteita tietoturvassa.

Tutkimuksessa asennettiin 13500 suosittua sovellusta Google Play -kaupasta. Näistä yli tuhannella sovelluksella oli vakavia puutteita SSL-varmenteessa, joka teki sovellukset alttiiksi MITM-hyökkäyksille. MITM-hyökkäyksissä eli mies välissä -hyökkäyksissä hyökkääjä asettuu kahden tietoa vaihtavan osapuolen välille välittäjäksi ja voi halutessaan muuttaa viestin sisältöä. Esimerkiksi useimmat lähiverkkotekniikat mahdollistavat MITM-tekniikan käytön.

Tutkimuksessa tutkijat pystyivät haavoittuvuuden avulla sieppaamaan sovellusten kautta esimerkiksi luottokorttinumeroita, nettipankkitunnuksia, sosiaalisen median tunnuksia ja sähköpostiosoitteita. Tutkijoiden mukaan jopa 39,5-185 miljoonaa ihmistä käyttävät sovelluksia, joissa on heikko SSL tai TLS. Tutkimusta varten tutkijat kehittivät MalloDroid-nimisen työkalun, joka suunniteltiin havaitsemaan ja tunnistamaan puutteita SSL:ssa.


Tilaa Puhelinvertailun uutiskirje!

Lähetämme noin kerran viikossa uutiskirjeen, joka sisältää viikon ajalta tärkeimmät uutisemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Parhaat kännykkätarjoukset

HMD Skyline – hinta laskenut -40%

HMD Skyline
299 € Elisa
399 € Power
399 € DNA

Alin hinta viikko sitten: 499 €

Honor 90 Lite – hinta laskenut -34%

Honor 90 Lite
99 € Elisa
99 € DNA
169 € Euronics

Alin hinta viikko sitten: 149 €

Motorola Edge 50 – hinta laskenut -33%

Motorola Edge 50
399 € Elisa
594 € Verkkokauppa.com
599 € Proshop

Alin hinta viikko sitten: 594 €

Honor 200 Lite – hinta laskenut -26%

Kommentit (7)

Anonyymi käyttäjä
Wake up Google @ (vahvistamaton)

1

Googlella on paljon tekemistä/tutkittavaa ja kehitettävää ennen seuraavaa Android-versiota eli JB 4.1.1!!!. ;)

Vastaa
Curvy2
Curvy2

4

Minkä ihminen osaa rakentaa sen myös toinen voi purkaa.
En tosin ennenkään olisi luottanut pankkiyhteyksissä mihinkään kännyköihin, vaan ihan PC:hen tai läppäriin.
Ennakoin jo kuulevani, että muillakin on vastaavia ongelmia, en ole niin vainoharhainen, että kaikki juttuni olisivat salaisia, mutta pankkijuttujen täytyy olla.
Täytyy olla todella minusta kiinnostunut, mikäli julkisia tekstejä tai valokuvia haluaa katella, voisi tulla haukotus.

Vastaa
Anonyymi käyttäjä
jepajuudas (vahvistamaton)

5

@4
"Minkä ihminen osaa rakentaa sen myös toinen voi purkaa."

Tämä on sinänsä totta, mutta todellista pään pusikkoon pistämistä. Tietäen vielä Androidin erittäin huonon päivittyvyyden niin verkossa on jo nyt miljoonia laitteita useiden tunnettujen haavoittuvuuksien kera. Androidista on tullut erittäin nopeaa vauhtia kaikkien aikojen pahin tietoturvariesa.

Harva käyttäjä arvostaa kun heidän kuvansa/viestinsä on jossain 9gag:ssa hauskan tekstin saattelemana. Yrityskäyttäjillä taas usein jotain rahan arvoista mitä ei haluisi valuvan mihinkään hallitsemattomasti.

Jos datan leviäminen ei pelota niin en usko, että sinäkään olisit kauhean tyytyväinen jos puhelimesi soittelisi tietämättäsi öisin jonnekin Nigeriaan maksullisiin numeroihin?

Vastaa
Curvy2
Curvy2

6

@5 Siksi käytänkin puheluihin pikkusta Nokialaista ja muuhun käyttöön Android-puhelinta.
Ja toisaalta windowshan on ollut useimpien haittaohjelmien kuormittama.. Tämä tosin jo hivenen haisee..
niinkuin aiemmin kirjoitin pankkijuttujen täytyy olla hyvin kryptattuja.
Aikoinaan armeijan jutuissakin oli 24 tunnin välein vaihtuva 25-merkkinen salasana, ja oli laskettu, että sen murtamiseen menisi muutama vuorokausi, mutta silloin tieto olisi jo vanhentunutta.
Parempi tämä, joka istunnon jälkeen vaihtuva koodi, joka löytyy vain vihkosta.
Yleisesti, kuka nyt jaksaisi olla kaiken maailman kuvista tai teksteistä kiinnostunut, tietokanta on valtava, no toivottavasti ne jotka lukevat juttujani yleisestä sanomalehdestä.

Vastaa
Tomppa89
Tomppa89

7

Itse en ainakaan puhelimella tee mitään, mikä saattaisi vaarantaa itselle jonkin tärkeän tiedon. Tietoturva aina asian tärkeyden mukaan. Ei ole niin justiinsa, jos joku puhelimestani vie diipadaapa forumin tunnukset. Pankki asiat hoidan sitten tietokoneella. Tosin eipä se tietokonekaan välttämättä ole sen turvallisempi, mutta itsellä ainakin sen tietoturvaan enemmän panostettu.

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.