研究人员还发现,利用假凭证能让防病毒软件误判删除特定软件或完全失效,也可以从远程遥控让程序加载恶意模块。但该研究报告并未列出41款app的名称,因为研究重点在于一般常用软件处理用户数据的保护程度,而非恶意软件或漏洞。研究人员估计这41款app当中有三款安装量介于一千万到五千万,全部受影响的用户可能介于395万到1.85亿。
研究人员使用网络向754个用户进行调查,发现有一半的使用者不知道浏览器是否使用加密联机,而忽略凭证警告的使用者更高达56%。
研究人员建议android操作系统、在线软件商店及开发人员都可以解决该问题,并计划提供他们所研发的工具软件mallodroid让用户侦测是否面临中间人攻击的威胁,另外他们认为必须提供更多资安教育与工具给开发人员。
ssl/tls是因特网加密通讯方式的一种,但早在2002年就被资安专家moxiemarlinspike判定不够安全。约8%的免费androidapp使用容易遭受中间人攻击的ssl/tls程序代码。这些app中约有四成很容易遭受中间人攻击而泄露手机中的资料。包含信用卡、银行、paypal、facebook、twitter、google、雅虎、windowslive等各式账号与密码。
德国leibniz、philipps两座大学的研究人员分析了1.35万个android免费app后发现,其中约8%,总计1047个app使用容易遭受中间人攻击的ssl/tls程序代码。
具体的操作分析方法是研究人员设计一个分析软件mallodroid,用来拦截并分析app的http/https联机请求,同时检核其ssl凭证的有效性,结果发现测试的1.35万个app中,有1047个app接受任何来源的凭证。因此,研究人员进一步挑选其中一百个app,发现其中41个很容易遭受中间人攻击。透过这41个app,他们可以取得存在手机中的数据,包含信用卡、银行、paypal、facebook、twitter、google、雅虎、windowslive等各式账号与密码。
http://bjxianyi-3.51dzw.com/
