HTTPS defektas leidžia nutekinti Android programėlių slaptažodžius (0)

2015-06-23

Google Play Store rastos dešimtys programėlių, kurios arba nenaudoja HTTPS sujungimo, arba jį naudoja neteisingai, o tai leidžia gauti prieigą prie vartotojų autentifikacijos duomenų, rašo Arstechnica.

Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Sudomino? Užpildyk šią anketą!

Tokios programėlės buvo parsisiųstos daugiau nei 200 mln. kartų, o spragos jose nebuvo pašalintos net tuomet, kai apie jas buvo informuoti jų kūrėjai. Kritinė spraga buvo rasta, naudojant nemokamą programėlę AppBugs. Pavyzdžiui, pasimatymų tarnyba Match.com naudoja nešifruotą HTTP sąsają, siunčiant slaptažodžius, todėl tame pačiame Wi-Fi tinkle arba per „nulaužtą“ maršrutizatorių juos galima perimti ir perskaityti. Programėlės NBA Game Time, Safeway ir PizzaHut naudoja HTTPS nekorektiškai, o tai leidžia pasinaudoti ataka „žmogus viduryje“, kai vartotojo duomenims perskaityti naudojamas netikras skaitmeninis sertifikatas. NBA programėlė reikalauja NBA League Pass paskyros, kuri kainuoja $199. Apie pažeidžiamumą buvo pranešta dar vasario mėnesį, tačiau atsakymo nebuvo sulaukta, kaip ir maždaug 50 kitų programėlių autorių.

Iš viso buvo aptikta apie 100 programėlių su minėta saugumo spraga, tačiau tik 28 iš jų klaida buvo ištaisyta.

Google galėtų savarankiškai aptikti Play Store patalpintas pažeidžiamas programėles, tačiau nepanašu, kad kompanija tuo užsiimtų, teigia rinkos ekspertai.

Dabartinis atradimas padarytas, praėjus porai mėnesių po to, kai studentai iš San Francisko rado programėlių su panašia HTTPS klaida, o jų bendras parsisiuntimų skaičius sudarė 350 mln. kartų.

Reikia pažymėti, kad iOS buvo rasta panaši klaida, kuri priversdavo HTTPS veikti nekorektiškai tūkstančiuose iPhone ir iPad programėlių.