安全研究在超過1,000支Android應用程式上發現可實際操作的SSL安全漏洞。
有近8%的Android應用程式因為隱含SSL實作上的安全弱點而有招致惡意攻擊的安全風險,根據一份最新的電腦安全研究報告指出。
德國安全研究人員在分析Google Play上13,500萬支免費Android應用程式後發現,其中有為數1,074支,亦即8%的應用程式內含可能招致中間人攻擊(Man-in-the-Middle, MITM)風險的SSL/TLS程式碼。
德國漢諾威(Hannover)萊布尼茲大學(Leibniz University)及馬堡(Marburg)菲利普大學(Philipps University)的研究人員,在一份以《為什麼夏娃和馬洛里喜歡Android:Android SSL安全分析》(Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security)為標題的論文中詳述其發現。
SSL/TLS是用於線上交易及通訊安全的加密協定,然而許多安全研究人員已經證明出,該協定實作方式,以及該協定對可信賴第三方憑證管理中心(CA)的依賴,莫不讓應用程式出現安全弱點。
這並非什麼新的安全問題,電腦安全研究人員Moxie Marlinspike早在2002年即對外發佈一個稱之為SSLSniff的軟體,並用其展示SSL弱點,隨後有更多的漏洞被發掘出來。例如,史丹佛大學(Stanford University)及德州大學奧斯汀分校(University of Texas at Austin)的研究人員於上週發表《全球最危險的程式碼:非瀏覽器軟體SSL證書之驗證》(The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software)的論文提出證明指出:「SSL證書之驗證在許多重大安全應用軟體及函數庫裡已全然失效。」
在某個Android應用程式案例中,德國安全研究人員開發出一個稱之為MalloDroid的程式,並用來對網路應用程式介面呼叫函數(API Call)進行靜態碼分析。該程式會從反編譯應用程式進行http/https URL的檢索,並對擷取出的SSL證書進行有效性檢查。該程式也會對採用客製化信任管理實作的應用程式進行標記,其會比Android預設來得更加寬容。安全人員接著會對100支應用程式進行稽核,以檢查出潛在的SSL漏洞。
安全人員也會檢查Android應用程式是如何地將SSL安全資訊提供給使用者,以確認介面設計是否不佳,以及在UI上可以改進的地方。
没有评论:
发表评论