資料安全公司FireEye最近進行了一項調查研究,顯示在Google Play應用商店排名前1000的應用中,大部分免費安卓熱門應用均存在安全漏洞,其中的SSL漏洞將使得使用者裝置遭受中間人攻擊(man-in- the-middle,MITM),對安卓生態系統的資料安全造成嚴重破壞。
據該公司發表的博文稱,“這些熱門的應用可以讓攻擊者截獲安卓裝置與遠端伺服器之間的交換資料”,調查對1000個最熱門的免費應用分析,發現有73%的應用由於SSL管理不良或有問題,使得其非常容易遭受中間人攻擊。對前10000個應用進行隨機抽樣後,該數字則超過6成。這項調查涵蓋了三個信任管理方面的獨立SSL錯誤,呼叫WebKit後,程式會遇到SSL錯誤導致不去驗證遠端伺服器的主機名稱。
FireEye稱,這項問題主要影響了廣告庫服務及相關的功能。“有些應用會使用第三方廣告庫來開啟某些功能,而這些庫由於有潛在安全漏洞,導致在安全漏洞被利用時,與此相關的庫及應用都十分危險,裝置容易遭受攻擊。”FireEye表示其已經通知開發商來推出更新解決這些漏洞,開發商均承認了其報告的漏洞並表示會在後續版本中解決它們。
自:cnbeta