Как минимум 41 «легитимное» приложение для Android может быть использовано для кражи персональных данных, включая номера банковских карт, пароли доступа ко всевозможным ресурсам и даже переписку из служб обмена мгновенными сообщениями, утверждает команда исследователей из Университета им. Лейбница в Ганновере и Университета им. Филиппса в Марбурге. Проблемные приложения являются гиперпопулярными — количество скачиваний исчисляется десятками миллионов.
С помощью ряда эксплойтов, в том числе предназначенных для перехвата данных в беспроводных сетях, исследователи смогли «снимать» с устройств на базе Android (версия 4.0) данные, преодолевая средства защиты проблемных приложений (защита базируется на протоколах SSL и TLS).
Протоколы SSL и TLS относятся к числу наиболее распространённых инструментов обеспечения безопасности в Сети. Сами по себе используемые технологии считаются защищёнными, однако недостаточно надёжная инфраструктура центров сертификации или ошибки на веб-сайтах могут приводить к утечкам данных. Сейчас добавилась ещё одна разновидность «уязвимых мест» — низкокачественная реализация средств защиты в приложениях для мобильных устройств.
«Мы смогли собрать данные о банковских счетах, логины и пароли в PayPal, American Express и других платёжных системах. Кроме того, удалось перехватить авторизационные данные для Facebook, электронной почты и облачных хранилищ, а также личную переписку; мы также смогли получить доступ к IP-камерам», — пишут исследователи.
Среди приведённых ими примеров:
- Антивирусное приложение, принимавшее недействительные сертификаты безопасности при установлении соединения с базой, откуда поступали новые сигнатуры зловредов. В итоге исследователи смогли «скормить» этому приложению malware собственного изготовления.
- Приложение для работы с «облачным» хранилищем, которое используют несколько миллионов человек, допускает утечку логинов. Причина — «неисправный SSL-канал».
- Клиентское приложение популярного веб-сайта класса Web 2.0 с миллионом пользователей. Разработано третьей стороной. Допускает утечку авторизационных данных к Facebook и сервисам Google.
- «Исключительно популярное кросс-платформенное приложение для обмена мгновенными сообщениями», количество пользователей которого насчитывает до 50 млн человек, выдаёт телефонные номера из адресной книги.
Исследователи не указывают названий этих приложений (и правильно делают), но намекают, что большинство их — а то и все — созданы «третьими сторонами», а не владельцами ресурсов, для использования которых эти приложения написаны.
Android уже стал «головной болью» для специалистов по безопасности: он лидирует по количеству вредоносного софта, написанного для мобильных платформ, и количество такового неумолимо растёт.