FireEye:60%的流行安卓应用存安全风险

FireEye:60%的流行安卓应用存安全风险

黑客安全访客2021-10-12 6:12:007534A+A-

  根据安全研究公司FireEye的研究,在针对Google Play 中1000个最流行的Android应用的研究发现, 其中60%的应用,由于SSL代码错误以及证书处理的错误。至少存在着中间人攻击的风险。

  “安卓生态系统急需帮助, 因为SSL漏洞和中间人攻击(MITM)攻击正在对数据安全造成严重破坏。” FireEye在博客中写道。

  FireEye的研究人员发现了三类基本的SSL错误:

  1)可信管理没有检查证书是否有效

  2)应用不去确认远程服务器的域名是否正确

  3)在使用Webkit时忽略SSL错误码(即当安全完整性检查出错时的错误码)

  androidssl1

  可信管理引擎不对后端服务器进行身份验证是目前看来最常见的问题。 这使得黑客可以伪造成合法的身份来盗取数据。 在Google Play商店最流行的1000个安卓应用中,有73%的应用存在这样的问题。 在最流行的1万个应用中, 有40%存在这样的问题。

  第二常见的问题就是Webkit的错误码问题。 在最流行的1000个应用中,有77%存在这样的问题,在最流行的1万个应用中,有13%存在此类问题。

  对中间人攻击来说, 目前广告网络是最大的攻击目标。 黑客或者是通过劫持连接来安恶意软件, 或者把用户劫持大其他网站。  FireEye的研究团队发现最流行的两个广告库Flurry和Chartboost都使用了不可靠的可信管理器。

  这两个系统目前都已经加了补丁, 不过这并不意味着第三方的应用开发人员就会立即更新他们的应用。 重新对代码进行编译并发布。

  “很多SSL和密码的问题与应用如何进行测试和发布相关。在开发过程中, 很多开发人员发现对SSL验证进行禁用可以方便测试。” Neohapsis的安全研究顾问Patrick Thomas说“这是很危险的, 因为这需要有人能够记住在软件发布的时候把SSL验证加进来。 这一点很容易被忘记从而导致严重后果。 这类错误说明了在产品开发阶段安全专家与开发团队合作的重要性。 在产品发布前, 除了功能测试外, 安全测试也非常重要。 ”

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 萌懂折奉2022-05-30 07:02:56
  • ohapsis的安全研究顾问Patrick Thomas说“这是很危险的, 因为这需要有人能够记住在软件发布的时候把SSL验证加进来。 这一点很容易被忘记从而导致严重后果。 这类错误说明了在产品开发阶段安全专家与开发团队合作的重要性。 在产品发布前, 除了功能测试外, 安全测试也非常重要。 ”
  • 孤央倥絔2022-05-30 06:01:46
  • 危险的, 因为这需要有人能够记住在软件发布的时候把SSL验证加进来。 这一点很容易被忘记从而导致严重后果。 这类错误说明了在产品开发阶段安全专家与开发团队合作的重要性。 在产品发布前, 除了功能测试外, 安全测试也非常重要。 ” 
  • 孤央鸠魁2022-05-30 09:27:02
  • 持大其他网站。  FireEye的研究团队发现最流行的两个广告库Flurry和Chartboost都使用了不可靠的可信管理器。  这两个系统目前都已经加了补丁, 不过这并不意味着第三方的应用开发人员就会立即更新他们的应用。 重新对代码进行编译并发布。  “很多SSL和密码
  • 拥嬉莺时2022-05-30 03:05:16
  •  对中间人攻击来说, 目前广告网络是最大的攻击目标。 黑客或者是通过劫持连接来安恶意软件, 或者把用户劫持大其他网站。  FireEye的研究团队发现最流行的两个广

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理