اشتباه برنامه های اندروید در SSL

پژوهشگران 1000 برنامه بدون ایمنی، سرقت از کارت اعتباری و اطلاعات زیاد دیگری را پیدا کرده اند. بیش از 1000 مورد از 13000 نمونه از برنامه های اندروید که توسط پژوهشگران آلمانی تحلیل شده است، دارای اشکالات جدی در اجرای لایه سوکت های امن هستند.

پژوهشگرانی از دانشگاه لایبنیس درهانور و دانشگاه فیلیپس در ماربرگ در مقاله ای عنوان کردند که در نمونه مورد بررسی آنها 17% از برنامه هایی که از SSL استفاده می کنند، دچار نقص اجرایی هستند که موجب می شود در مقابل حملات MITM (حمله مرد میانی) آسیب پذیر باشند. آنها می گویند توانسته اند از امریکن اکسپرس، داینرز کلاب PayPal، حساب های بانکی، فیسبوک، توئیتر، گوگل، یاهو، مایکروسافت Live ID، Box،WordPress، سرورهایی که از راه دور کنترل می شوند، ایمیل های نامحدود و آی.بی.ام Sametime اعتبار برداشت کنند.

آنها افزودند به علاوه چون نرم افزارهای ویروس نیز از SSL استفاده می کنند، توانسته اند امضاهای ویروسی را به یک برنامه آنتی ویروس تزریق کنند تا برنامه های پشتیبانی نشده را به عنوان ویروس شناسایی کرده و یا کلاً شناسایی ویروس را از کار بیاندازد.

تمام این مشکلات به دلیل استفاده اشتباه از تنظیمات SSL در API اندروید است. مثال هایی که این پژوهشگران زده اند شامل برنامه هایی نیز می شود که به آنها فرمان داده می شود تمام گواهینامه های ارائه شده را بپذیرند (21 برنامه از 100 برنامه برای  آزمایش MITM انتخاب شده بود)، 20 برنامه از برنامه هایی که مورد آزمایش MITM قرار گرفته بودند، طوری تنظیم شده بودند که هر گواهینامه ای را بدون در نظر گرفتن نام کامپیوتر ارائه دهنده بپذیرند (مثلاً یک برنامه که به PayPal وصل می شود، گواهی ای را که از یک دامین دیگر ارائه شده، می پذیرد). مشکلات دیگر شامل خالی شدن SSL و اجرای کند آن می شود.

منبع: