Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/8/2014
To tredjedele af de mest populære apps til Android har mindst en sårbarhed relateret til SSL. Det gør det muligt at misbruge dem til man-in-the-middle-angreb.Sikkerhedsfirmaet FireEye har analyseret de 1.000 mest downloadede gratis apps i Google Play-butikken. 674 af dem har mindst en ud af tre sårbarheder i SSL, som Fireeye tjekkede for.
Ud af 614 apps som anvender SSL/TLS til at kommunikere med en server, undlader 448 at kontrollere, at serverens certifikat er korrekt.
Sårbarhederne ligger ofte i tredjepartsbiblioteker. For eksempel bruger mange apps biblioteket Flurry til at vise reklamer.
FireEye har udviklet et angreb, der udnytter sårbarheder i Flurry til at opsnappe data, der bliver sendt til firmaets webserver. Fejlen er fjernet i version 3.4 af biblioteket.