FireEye 行動安全小組:7 成免費 Android App 有線上傳輸加密漏洞!

作者 | 發布日期 2014 年 08 月 23 日 9:00 | 分類 Android , 資訊安全 line share follow us in feedly line share
FireEye 行動安全小組:7 成免費 Android App 有線上傳輸加密漏洞!


根據 FireEye 行動安全小組的調查指出,最受歡迎的 1,000 個 Android Ap p都有個共通點:他們都有著線上傳輸加密 SSL/TLS 漏洞,可能導致網路中間人攻擊(MITM, Man-In-The-Middle)。

androidssl1▲ FireEye 行動安全小組發現,部分 Android App 含有線上傳輸加密 SSL/TLS 漏洞。(圖片來源:Net Security)

FireEye行動安全小組基於研究 Google Play 中,有多少 App 是透過安全網路協定來連線伺服器,而這些A pp 又是否正確採用 Android 平台的 SSL 資料庫,而開始這項調查。

調查 1,000 個 App 後發現,共有 614 個 App 有使用線上傳輸加密 SSL/TLS,但是這其中,約有 73% 沒有經伺服器認證、約 8% 的伺服器主機名稱並未經認證,約 77% 忽略了 SSL 錯誤訊息。

報告指出,開發者可以採用第三方程式資料庫來開發 App,但當這些第三方資料庫出現安全弱點時,採用這些第三方資料庫所開發的 App 就可能都有安全疑慮。此外,這些安全弱點並不是出現在 App 本身,而是 App 的特色功能上。

這個安全小組是以中間人攻擊方式,測試這些下載數高的 App 安全漏洞。目前他們已經通知開發者這項調查結果,希望開發者釋出新版本,加強 App 安全性。

(資料來源:Net Security;本文由 數位時代 授權轉載)