App Android e sicurezza: falle nell’utilizzo dell’SSL!

23 ottobre, 2012 1 Commento »

Alcuni ricercatori della Leibniz University di Hannover e della Philipps University di Marburgo hanno testato oltre 13.000 applicazioni trovando in più di 1.000 di esse dei problemi di sicurezza nell’implementazione del protocollo SSL tali da renderli vulnerabili agli attacchi di tipo man-in-the-middle (MITM).


I ricercatori, secondo quanto pubblicato in un white paper, sono stati in grado di “catturare le credenziali da American Express, Diners Club PayPal, account bancari, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, server di controllo remoto, account email e IBM Sametime”.

Inoltre, visto che anche gli antivirus utilizzano l’SSL, “siamo stati in grado di iniettare le firme dei virus in applicazioni antivirus per fare in modo che questi riconoscessero applicazioni normali come virus o anche per disattivare completamente l’antivirus”. Il problema nasce perché i programmatori non usano nel modo corretto le impostazioni SSL offerte dalle API Android. Ad esempio, i ricercatori hanno trovato applicazioni programmate per accettare tutti i certificati ricevuti (21 app su 100 di quelle sottoposte al test MITM); 20 delle app del test MITM erano configurate per accettare i certificati senza tener conto dell’hostname associato (ad esempio, tra queste c’era un’app per la connessione ai server PayPal che accettava anche certificati di altri domini). Altri problemi riscontrati includono l’SSL stripping e la non corretta implementazione dell’SSL.

I ricercatori hanno anche fatto notare come alcune applicazioni non forniscano sufficienti informazioni all’utente, ad esempio, non comunicando l’utilizzo o meno del protocollo SSL per trasmettere le credenziali. In ogni caso, lo strumento utilizzato da loro per la scansione dell’utilizzo del protocollo SSL da parte delle app sarà disponibile come applicazione Web con il nome di MalloDroid, e anche come parte del security scanner Androguard.

android-security

Fonte: The Register
Foto: Digital Trends

Potrebbero interessarti ...

  • David

    In sostanza hanno confermato che sono i programmatori di app a non saper programmare e non android ad essere per sua natura insicuro…” Il problema nasce perché i programmatori non usano nel modo corretto le impostazioni SSL offerte dalle API Android.” cit. XD