Instagram, MessageMe, OkCupid oraz wiele innych aplikacji na Androida oblało testy bezpieczeństwa, przechowywane w nich dane można łatwo przechwycić.
Za odkrycie luk w aplikacjach odpowiada zespół Cyber Forensics Research and Education Group z Uniwersytetu w New Haven (UNHcFREG), ten sam, który kilka miesięcy wcześniej odnalazł luki w WhatsApp oraz Viber. Zespół rozszerzył zasięg swoich poprzednich badań, by przekonać się, jak wiele aplikacji na Androida niewystarczająco chroni dane swoich użytkowników przed wyciekiem. W ciągu tego tygodnia grupa codziennie będzie publikować jeden film na swoim kanale na YouTube, który wskaże groźne luki. Jak poinformował zespół, zagrożone są dane aż miliarda użytkowników.
Ibrahim Baggili, dyrektor UNHcFREG oraz redaktor naczelny Journal of Digital Forensics, w telefonicznym wywiadzie dla IDG News Service stwierdził, że programiści aplikacji mobilnych podchodzą do swojej pracy bardzo niedbale i to na nich spoczywa największa odpowiedzialność za naprawienie tego stanu rzeczy.
W badaniach wykorzystano narzędzia do śledzenia przepływu pakietów danych takie jak Wireshark czy NetworkMiner. Zespół chciał przekonać się, jakie informacje przekazywane są do sieci podczas korzystania z oprogramowania mobilnego. Wyniki okazały się niepokojące.
Instagram wciąż przetrzymuje obrazy na serwerach, które nie korzystają z szyfrowania danych i nie wymagają autoryzacji użytkownika. Podobne problemy odkryto w aplikacjach OoVoo, MessageMe, Tango, Grindr, HeyWire czy TextPlus, tam w żaden sposób nie zabezpiecza się zdjęć przesyłanych pomiędzy użytkownikami. Jeśli komuś uda się podsłuchać konwersację i przechwyci link do przesyłanego pliku, będzie mógł bez problemu obejrzeć zdjęcie.
Powszechnym problemem jest także brak szyfrowania wpisów na czacie, z tym problemem muszą zmierzyć się użytkownicy m.in. OoVoo, Kik, Nimbuzz and MeetMe. Jak zauważa Baggili, jeśli ktoś dobierze się do telefonu, będzie mógł ściągnąć bazę danych aplikacji z urządzenia i bez żadnych problemów przejrzeć historię konwersacji. Problemu nie rozwiązuje również przechowywanie wpisów na serwerach, zamiast na telefonie, gdyż tam również nie są szyfrowane.
Kolejnym zagrożeniem jest nie używanie przez aplikacje protokołu SSL/TLS. Podczas korzystania z publicznych sieci Wi-Fi łatwo wykraść dane nie korzystające z takiego zabezpieczenia. Tu jako przykład podano OkCupid, aplikację używaną przez 3 miliony użytkowników, która nie wykorzystuje SSL. Przy użyciu wcześniej wspomnianych narzędzi udało się przechwycić treść wiadomości przesyłanej przez serwis oraz jej nadawcę.
Baggili zapewnia, że kontaktował się z deweloperami przebadanych aplikacji, ale w wielu przypadkach jego maile pozostały bez odpowiedzi.
Dodaj komentarz