【IT商業新聞網綜合】(記者 李維)近日,有媒體爆料稱約8%的免費Android App使用容易遭受中間人攻擊的SSL/TLS程序代碼。
據悉,這些App中約有四成很容易遭受中間人攻擊而泄露手機中的資料。包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號與密碼。
德國Leibniz、Philipps兩座大學的研究人員分析了1.35萬個Android免費App后發現,其中約8%,總計1047個App使用容易遭受中間人攻擊的SSL/TLS程序代碼。
具體的操作分析方法是研究人員設計一個分析軟件MalloDroid,用來攔截并分析App的http/https聯機請求,同時檢核其SSL憑證的有效性,結果發現測試的1.35萬個App中,有1047個App接受任何來源的憑證。因此,研究人員進一步挑選其中一百個App,發現其中41個很容易遭受中間人攻擊。透過這41個App,他們可以取得存在手機中的數據,包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號與密碼。
同時,研究人員還發現,利用假憑證能讓防病毒軟件誤判刪除特定軟件或完全失效,也可以從遠程遙控讓程序加載惡意模塊。但該研究報告并未列出41款App的名稱,因為研究重點在于一般常用軟件處理用戶數據的保護程度,而非惡意軟件或漏洞。研究人員估計這41款App當中有三款安裝量介于一千萬到五千萬,全部受影響的用戶可能介于395萬到1.85億。
據悉,研究人員使用網絡向754個用戶進行調查,發現有一半的使用者不知道瀏覽器是否使用加密聯機,而忽略憑證警告的使用者更高達56%。
因此研究人員建議Android操作系統、在線軟件商店及開發人員都可以解決該問題,并計劃提供他們所研發的工具軟件MalloDroid讓用戶偵測是否面臨中間人攻擊的威脅,另外他們認為必須提供更多資安教育與工具給開發人員。
據悉,SSL/TLS是因特網加密通訊方式的一種,但早在2002年就被資安專家MoxieMarlinspike判定不夠安全。
推薦閱讀
北京時間10月25日早間消息,根據美國證券交易委員會(SEC)的最新文件,微軟創始人比爾·蓋茨(BillGates)10月22日在公開市場出售了450萬股微軟股份。 北京時間10月25日早間消息,根據美國證券交易委員會(SEC)的最>>>詳細閱讀
地址:http://www.sdlzkt.com/a/xie/20121229/113013.html
網友點評
精彩導讀
科技快報
品牌展示