根據FireEye行動安全小組的調查指出,最受歡迎的1,000個Android App都有個共通點:他們都有著線上傳輸加密SSL/TLS漏洞,可能導致網路中間人攻擊(MITM, Man-In-The-Middle)。
(圖說:FireEye行動安全小組發現,部分Android App含有線上傳輸加密SSL/TLS漏洞。圖片來源:Net Security)
FireEye行動安全小組基於研究Google Play中,有多少App是透過安全網路協定來連線伺服器,而這些App又是否正確採用Android平台的SSL資料庫,而開始這項調查。
調查1,000個App後發現,共有614個App有使用線上傳輸加密SSL/TLS,但是這其中,約有73%沒有經伺服器認證、約8%的伺服器主機名稱並未經認證,約77%忽略了SSL錯誤訊息。
此報告指出,開發者可以採用第三方程式資料庫來開發App,但當這些第三方資料庫出現安全弱點時,採用這些第三方資料庫所開發的App就可能都有安全疑慮。此外,這些安全弱點並不是出現在App本身,而是App的特色功能上。
這個安全小組是以中間人攻擊方式,測試這些下載數高的App安全漏洞。目前他們已經通知開發者這項調查結果,希望開發者釋出新版本,加強App安全性。
資料來源:Net Security
