Mange Android-apps har SSL-sårbarhed

Artiklen blev oprindeligt publiceret den 22/10/2012

Adskillige apps til Android anvender SSL på en måde, der gør det muligt at gennemføre et man-in-the-middle-angreb.

Det har en gruppe forskere ved to tyske universiteter opdaget. De beskriver deres forskning i artiklen "Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security."

Mange apps til smartphones med Android anvender SSL (Secure Sockets Layer) til at kryptere kommunikationen mellem telefonen og en server. Men hvis SSL ikke er implementeret korrekt, er det muligt for uvedkommende at aflytte og afkode kommunikationen.

En første test af de 13.500 mest populære apps på Google Play viste, at 1.047 så ud til at anvende SSL på en uheldig måde. Herefter udvalgte forskerne 100 af de mistænkelige apps til en nøjere analyse.

Den viste, at 41 af dem var sårbare over for velkendte angrebsmetoder. Dermed kunne forskerne få adgang til brugernes kontonumre, kreditkortdetaljer, Facebook-password og mailkonti.

Sårbarhederne lå i, at appsene ikke tjekkede de certifikater, som servere benytter til at identificere sig med.

Forskerne planlægger at offentliggøre det program, som de brugte til at afsløre sårbarhederne med.

Links