אַשׁרַאי:
הנה כמה חדשות רעות עבורדְמוּי אָדָםמשתמשים: חוקרים חשפו 41 אפליקציות אנדרואיד בחנות Google Play שמדליפים נתונים רגישים, החל מפרטי כרטיסי אשראי ותוכן דואר אלקטרוני ועד סיסמאות לאתרי רשתות חברתיות, כך עולה ממחקר חדש.
חוקרים מאוניברסיטת לייבניץ בהנובר ואוניברסיטת פיליפס במרבורג בגרמניהממצאים שפורסמושמציינים שאפליקציות אנדרואיד שונות הזמינות כעת להורדה כפופות לבעיות הצפנה עיקריות. (הערה: המחקר נערך רק בקרב אפליקציות אנדרואיד, אך בעיות אבטחת אפליקציות צפויות לצוץ גם בפלטפורמות אחרות).
הצוות השתמש בסמארטפון של סמסונג גלקסי נקסוס הפועל על אנדרואיד 4.0 Ice Cream Sandwich כדי לבצע בדיקות והחל את המחקר על ידי הורדת 13,500 אפליקציות בחינם. כ-1,074 אפליקציות - או 8% מהמדגם - הכילו קוד שעלול היה להיות פגיע להתקפות man-in-the-middle (MITM), המאפשר לעבריין סייבר ליירט הודעה או נתונים שלפי ההנחה הם פרטיים ומאובטחים .
הצוות ערך ביקורת ידנית של 100 מהאפליקציות הללו והצליח להפעיל התקפות נגד 41 בהצלחה.
ראה גם:
"מתוך 100 האפליקציות שנבחרו לביקורת ידנית, 41 אפליקציות הוכיחו כי ישנן פרצות ניתנות לניצול", אמרו החוקרים. "יכולנו לאסוף פרטי חשבון בנק, אישורי תשלום עבור PayPal, אמריקן אקספרס ואחרות. יתרה מכך, אישורים והודעות של פייסבוק, דוא"ל ואחסון ענן הודלפו, הושגה גישה למצלמות IP וניתן היה לשנות ערוצי שליטה עבור אפליקציות ושרתים מרוחקים. "
לאחר שליפת המידע, הצוות אמר שהם "הצליחו להחדיר חתימות וירוסים לאפליקציית אנטי-וירוס כדי לזהות אפליקציות שרירותיות כווירוס או להשבית לחלוטין את זיהוי הווירוסים".
למרות שהחוקרים לא נתנו את שמות האפליקציות, הם סיפקו כמה פרטים על שירותים מסוימים. לדוגמה, הם "תקפו בהצלחה שירות הודעות חוצה פלטפורמות פופולרי מאוד" - שיש לו בסיס משתמשים בין 10 ל-50 מיליון משתמשים - והצליחו להשיג מספרי טלפון מפנקסי הכתובות של המשתמשים.
בסיכון גם אפליקציה לאתר אינטרנט 2.0 פופולרי עם בסיס התקנות של 500,000 עד מיליון משתמשים.
"בעת שימוש בחשבון פייסבוק או גוגל לכניסה, האפליקציה יוזמת רצפי התחברות של OAuth ומדליפת אישורי התחברות של פייסבוק או גוגל", נכתב במחקר.
