Op basis van een onafhankelijke SSL-certificaattest die is uitgevoerd op verschillende Android-apps, heeft Google de beveiliging van ongeveer 250 apps in de Play Store niet geverifieerd.
Will Dormann, een onderzoeker aan het CERT Coördinatiecentrum van Carnegie Mellon University, heeft de honderden Android-apps verzameld in een spreadsheet die op de CERT-website is geplaatst en laat zien welke apps gebruikers moeten vermijden om op hun mobiele apparaten te installeren vanwege een mogelijke bedreiging. inbreuk op de beveiliging.
Niet-geverifieerde apps bevinden zich in zowel de Google Play Store als de Amazon App Store, en op het moment van schrijven zal het aantal apps dat kwetsbaar is voor man-in-the-middle-aanvallen waarschijnlijk blijven stijgen naarmate Dormann aan de lijst blijft toevoegen. Aangezien Android en Amazon samen een zeer aanzienlijk aantal Android-gebruikers op de markt vertegenwoordigen. Dit vraagt serieuze aandacht, zowel van de gebruikers als de betrokken bedrijven.
De methode die wordt gebruikt om te bepalen welke apps kwetsbaar zijn voor aanvallen is vorige maand uitgebracht, genaamd CERT Tapioca, waarmee willekeurige Android-apps werden getest op MITM-aanvallen. Hoewel de onderzoeker erkende dat hij slechts een klein deel van het Android-ecosysteem heeft getest, wordt er nog volop getest en zullen er de komende dagen waarschijnlijk meer apps worden onthuld.
Dormann beloofde de spreadsheet bij te werken zodra blijkt dat meer apps de SSL-certificeringstests niet doorstaan. Het informeert ook Google en Amazon over de status van apps op hun respectieve platforms, evenals app-auteurs.
Het blijkt volgens de onderzoeker dat deze bedrijven niet dezelfde SSL-certificaattesten uitvoeren op de applicaties die in hun online markt worden geïntroduceerd. Het is zelfs een verrassende onthulling voor met name Google, dat de laatste tijd stappen heeft ondernomen om de beveiliging van zijn services te verbeteren.
Het lijkt er ook op dat Google en Amazon, ondanks hun enorme middelen, ervaring en talent om dit te kunnen doen, nog geen proactieve stap hebben gezet in de richting van het verminderen van risicovolle applicaties.
Toepassingen met een slechte SSL-compliance variëren van games, muziek en productiviteitstoepassingen. Het is volgens de onderzoeker echter moeilijk vast te stellen of de gevonden kwetsbaarheden in die applicaties opzettelijk of onopzettelijk zijn.
Het probleem uit de eerste hand ligt ook in slechte prestaties van een toepassing als de SSL-validatiefunctie is ingeschakeld. Ontwikkelaars schakelen het als een conventie uit om de app soepel te laten werken. Maar voordat de app in de app stores wordt gepubliceerd, moet SSL-certificering zijn ingeschakeld, wat vaak wordt vergeten.
