דיווח: עשרות אפליקציות אנדרואיד פופולריות חשופות לגניבת מידע
חוקרים איתרו שורה של ליקויי אבטחה בהצפנת המידע הבסיסית בעשרות אפליקציות אנדרואיד פופולריות. חלקן זכו ל-185 מיליון הורדות. הליקויים מאפשרים פריצה לחשבונות פייסבוק, מייל, פייפל ועוד
חוקרי אבטחה מאוניברסיטת לייבניץ בהאנובר שבגרמניה מצאו כי לפחות 41 אפליקציות בחנות Play של גוגל מכילות פרצות אבטחה חדשות שמאפשרות גניבת מידע. כך דיווח אמש (א') אתר ars technica.
- Zimperium - מערכת אבטחה לטלפונים סלולריים
- דיווח: גוגל תשלוף קלף חדש נגד הווירוסים שבחנות Play
- נתניהו: תקום "כיפת ברזל דיגיטלית" להגנה מפני איומי סייבר
בניגוד לפרצות קודמות שמקורן במערכת ההפעלה מבית גוגל, אלו החדשות נובעות מתכנון לקוי של האפליקציות עצמן.
חדירה לחשבונות פייפל, פייסבוק ועוד
החוקרים ערכו בדיקה ראשונית שזיהתה 1,074 אפליקציות ככאלו שעשויות להכיל פרצות, צמצמו את הרשימה ל-100 ובדקו אותן. 41 מהן התבררו כמכילות פרצות אבטחה שהחוקרים מגדירים כבסיסיות, ואפשרו להם להוציא מהיישומים מידע כגון כתובות וסיסמאות לחשבונות מייל, חשבונות רשתות חברתיות, חשבונות פייפל, חשבונות אשראי ועוד.
החוקרים לא ציינו באילו אפליקציות מדובר, אך אמרו כי חלק מהן הורדו 185 מיליון פעמים מחנות האפליקציות של גוגל. עיקר הפרצות היו ברכיבי ה-SSL בתוכנה - תכונה שאמינותה נפגעה בשנים האחרונות לאור מקרי פריצה - בין השאר לאתרי המוסד והמודיעין הבריטי.
המפתחים לא מתייחסים מספיק לאבטחה
ככל הנראה שלא מדובר באפליקציות של גוגל עצמה או של חברות תוכנה גדולות אחרות. מהמחקר עולה כי מדובר בעיקר באפליקציות צד שלישי שמפתחיהן פשוט לא השקיעו ברכיבי אבטחה בקוד הבסיס.
לאחרונה נודע כי גוגל מתכננת לשפר משמעותית את אבטחת אנדרואיד, ככל הנראה באמצעות כלי מובנה שיאפשר לזהות נוזקות למיניהן. עם זאת, כלים כאלה אינם אפקטיביים כנגד אפליקציות לגיטימיות שפשוט לא נכתבו נכון וניתנות לפריצה.
