安全性分析查找14个Android应用程序,这些应用程序将其关键帐户处于风险
根据APPBugs的分析,联合于估计的8000万下载,估计估计的8000万下载,在他们处理社会登录的方式上有严重的缺陷。
AppBugs使应用程序用于跟踪安全漏洞,发现了各种Android应用程序中的问题,所有这些都使用社交登录 - 使用您的Google,Microsoft,Facebook,Twitter或类似帐户登录应用程序。例如:
(appbugs标识的完整应用程序列表如下。)
这些问题是由于应用程序处理SSL证书的方式缺陷,Web服务器用于验证其身份。缺陷使攻击者可以使用伪造的SSL证书,使自己的服务器能够接收用户的登录凭据。
AppBugs的首席技术官和Cofounder Rui Wang表示,这些应用中没有出因漏洞。
“脆弱的应用程序可能正在使用一个易受攻击的社交库,或者他们可能由于任何原因而自行地将一些脆弱的代码放在任何原因中,”王说。“有时,开发人员可以自己改变图书馆并介绍了这个错误。”
AppBugs表示,它在一到四个月前联系了这些应用程序的开发人员,但它几乎没有回复。
“到目前为止,只有1个开发人员(Foxit Mobilepdf)修复了这个问题,”王说。“所以那些开发人员不采取行动保护重要用户账户真的很有关。”
根据安全专家,应用程序在纯文本中传输用户名和密码并不罕见。许多App开发人员对安全技术没有复杂,并且通常可以在不知不觉中将漏洞引入其代码。
AppBugs本身使一个应用程序可以帮助开发人员和最终用户减轻这些应用程序的风险。
Jack Urban这是一位高级安全研究员,他曾表示,一个问题是Android前蜂窝版本的方式是一个名为WebView的组件,它在应用程序中加载网页。
“在Android API 11(Honeycomb)之前,WebViews没有一种方法可以使用SSL客户端证书验证安全连接的真实性,使得在没有用户或应用程序的中间攻击中可能在中间攻击中的一个人,”都市说。
“在更晚的Android版本中,开发人员可以通过在使用WebViews时实现自己的客户证书验证技术来解决此问题,”Urban添加。当然,需要开发人员了解客户证书验证的工作原理。
以及最终用户?王推荐不使用应用程序的登录功能,直到开发人员修复了问题。和城市建议人们通过网络连接到互联网时要小心,他们还没有信任。
以下是AppBugs找到的问题应用程序列表。有关更多详细信息,请参阅移动应用程序中的社交插件漏洞上的AppBug的页面,其中包括展示每个漏洞的视频。