Jedan broj aplikacija na Google Play prodavnici ne koristi enkripciju ispravno što dovodi do zloupotrebe korisničkih lozinki i drugih podataka.
Istraživači su otkrili na desetine Android aplikacija u zvaničnoj Google Play prodavnici koje su otkrile korisničke lozinke zbog toga što nepravilno sprovode HTTPS enkripciju prilikom logovanja, ili je ne koriste uopšte.
Spisak neispravnih aplikacija koje imaju više od 200 miliona kolektivnih preuzimanja sa Google Play prodavnice, ostale su i dalje ranjive i nakon upozorenja programera na nedostatke. Na listi su aplikacije Nacionalne košarkaške asocijacije, Match.com sajta za upoznavanje, Safeway lanca supermarketa, kao i aplikacija PizzaHut restorana. One su otkrivene od strane AppBugs-a, programera besplatne Android aplikacije koja proverava instalirane aplikacije na telefonu.
Izvršni direktor AppBugs-a Rui Wang rekao je da Match.com aplikacija koristi neenkriptovani HTTP kada šalje korisničke lozinke, što olakšava posao ljudima koji su zaduženi za praćenje, neko na javnoj Wi-Fi mreži će moći vrlo lako da dođe do poverljivih informacija. Aplikacije kao što su NBA Game Time, Safeway i PizzaHut koriste HTTPS enkripciju ali je ne implementiraju ispravno. Kao rezultat, čovek koji napada komunikaciju između dve strane (MITMA) može iskoristiti lažni digitalni sertifikat kako bi došao do podataka za logovanje.
„Kao što je prikazano na snimku ispod, kada se žrtva uloguje na svoj League Pass nalog u okviru aplikacije, mašina treće strane će moći da dođe do lozinke i korisničkog imena.“ Napisao je Wang u email-u. „Napadač može biti totalni stranac koji sve vreme prati saobraćaj na javnoj Wi-Fi mreži ili kompromitovanom ruteru na internetu koji evidentira saobraćaj tiho.“
Wang kaže da NBA aplikacija zahteva NBA League Pass nalog, koji košta 199 dolara. Kaže i da je njegova kompanija prijavila problem programeru aplikacije u februaru ali da nikada nije dobila odgovor. Programeri Match.com, Safeway i PizzaHut aplikacija, kao i ostalih 50+ aplikacija, takođe nistu odgovorili na njegova upozorenja. Wang je otkrio 100 aplikacija koje ne koriste HTTP kao login zaštitu. Od tada je samo 28 aplikacija ispravljeno.
Iako Google-u nije teško da prepozna ovakve aplikacije, pošto se nalaze na njegovim serverima, nema indicija da kompanija hoće to i da uradi. Rezultati dolaze nekoliko meseci nakon što su studenti istraživači iz San Franciska pronašli Android aplikacije koje su preuzete minimum 350 miliona puta koje takođe pate od slične HTTPS boljke, prenosi Ars Technica.
Pre ovoga, bilo je sličnih problema sa 1500 iOS aplikacija. Rezultati jasno pokazuju da su Android korisnici i donekle iOS korisnici prepušteni sami sebi kada je u pitanju bezbednost aplikacija koje instaliranju na svojim uređajima.
Čekamo vaše komentare ispod vesti.