Эксперты обнаружили в магазине Android-приложений Google опасную уязвимость

Ученые Колумбийского университета проанализировали приложения Google Play и выяснили, что очень часто в них можно обнаружить персональные данные пользователей, включая имена и пароли от учетных записей в интернет-магазинах и социальных сетях. Таких приложений, в которых в открытом виде хранятся личные данные, тысячи. При этом даже в категории «лучших разработчиков» встречаются программы с такой ошибкой.

Play-Store-1

Поиск подобных приложений был выполнен с помощью специально разработанной программы PlayDrone, которая скачивает с Google Play бесплатные утилиты, декомпилирует их и анализирует на предмет наличия уязвимостей. Таким образом ученые проанализировали около 880 000 приложений и обнаружили часто встречающиеся ошибки.

Эксперты поделились этой информацией с Google, и компания уже разослала разработчикам приложений предупреждения о том, что их программные решения содержат в открытом виде персональные данные пользователей, которые могут быть использованы злоумышленниками.

Наиболее опасными ученые считают две уязвимости в системе аутентификации Google Play: для AWS и для мобильных приложений с использованием токенов OAuth (функция входа с учетной записью Facebook). Как выяснилось, после декомпиляции кода, некоторые разработчики встроили данные учетной записи AWS в само приложение. В начале исследования, в июне 2013 года было обнаружено 308 таких токенов, и тестовый запуск месяцем позже показал, что 94% из них остались работоспособными.

Кроме того, механизм аутентификации во многих популярных социальных сетях реализован так, что позволяет атакующему получить доступ к учетной записи, воспользовавшись результатами декомпиляции. Для Facebook ученым удалось получить доступ к данным почти 1 500 учетных записей, для Twitter — к более чем 28 000.

Источник: MacDigger.ru


11 комментариев

  • Весь ондроед - сплошное дырявое говно.
  • ИННОВАЦИИ 4 года назад
    0
    Кто-бы сомневался ?!
  • Лучшие учёные в мире, в лучшем университете мира вчём угодно найдут уязвимость, в любой О.С и не только, но никому не скажут как. Любимый андроид может спать спокойно.
  • А кто-то ещё пользуется андроидом?!
    • Большенство пользуется андройд (но из этих аппаратов большое количество не привышает и 6-7 тр а то и меньше). Гугл разрешает куда угодно (авто, холодильники , я даже слышал верту на андроиде есть) в отличие от аппл, которые значительно ограничелись в этом вопросе. Но, если не переводить аппарат в режим полной свободы, и установить несколько антивирусов ( у меня из 3) то можно значительно лучше его защитить . У ios значительно ограничен выбор. Меня к примеру HTC one mini заинтересовал из за музыкальных возможностей (пользуюсь monster beats pro). что не может предоставить iphone. Ios именна заточен под свои аппараты, и с уверенностью любая программа будет работать . А приложения не будут делать мощнее для анднойда, чем это может позволить 3-х годов Аппл (так как ios пользователи больше покупают приложений, чем пользователи конкурента). В общем, выбор каждого что ему в приоритете, но идеального аппарата с идеальным программным обеспечением на данный момент нет ( что бы всех пользователей удовлетворил)
  • Android и сам как одна сплошная уязвимость.
    • А ios очень безопасная система, да?:D то то я смотрю на "безопасной ОС" делается джеил, который есть для всех версий ОС, включая 8. Надежная система....
  • Пару новостей назад писали про взлом приложения Yo, из которого так же можно извлечь и номера телефонов и аккаунт fb. Какая бы ни была система, дыры можно найти везде.